Siber güvenlik araştırmacıları, GlueStack ile ilişkili bir düzineden fazla paketi hedef alan ve zararlı yazılım dağıtan bir tedarik zinciri saldırısını tespit etti. "lib/commonjs/index.js" dosyasındaki bir değişiklikle tanıtılan zararlı yazılım, bir saldırganın kabuk komutları çalıştırmasına, ekran görüntüleri almasına ve enfekte makinelerine dosya yüklemesine olanak tanıyor. Araştırmacılar bu paketlerin haftalık yaklaşık 1 milyon indirmeye sahip olduğunu belirtti. Yetkisiz erişim daha sonra kripto para madenciliği, hassas bilgi çalma ve hatta hizmetleri kapatma gibi çeşitli takip eylemlerini gerçekleştirmek için kullanılabilir. Araştırmacılar, ilk paket uzlaşmasının 6 Haziran 2025, GMT 21:33'te tespit edildiğini söyledi. Etkilenen paketlerin ve sürümlerin listesi aşağıdadır: - @gluestack-ui/utils sürüm 0.1.16
- @gluestack-ui/utils sürüm 0.1.17
- @react-native-aria/button sürüm 0.2.11
- @react-native-aria/checkbox sürüm 0.2.11
- @react-native-aria/combobox sürüm 0.2.8
- @react-native-aria/disclosure sürüm 0.2.9
- @react-native-aria/focus sürüm 0.2.10
- @react-native-aria/interactions sürüm 0.2.17
- @react-native-aria/listbox sürüm 0.2.10
- @react-native-aria/menu sürüm 0.2.16
- @react-native-aria/overlay sürüm 0.3.16
- @react-native-aria/radio sürüm 0.2.14
- @react-native-aria/slider sürüm 0.2.13
- @react-native-aria/switch sürüm 0.2.5
- @react-native-aria/tabs sürüm 0.2.14
- @react-native-aria/toggle sürüm 0.2.12
- @react-native-aria/utils sürüm 0.2.13
Ayrıca, paketlere enjekte edilen zararlı kod, geçen ay başka bir npm paketi olan "rand-user-agent"ın tehlikeye atılmasının ardından dağıtılan uzaktan erişim Truva atına benzer. Bu da aynı saldırganların bu aktivitenin arkasında olabileceğini gösteriyor. Truva atı, sistem bilgilerini ("ss_info") ve ana bilgisayarın genel IP adresini ("ss_ip") toplamak için iki yeni komutu destekleyen güncellenmiş bir sürümdür. Proje yöneticileri o zamandan beri erişim jetonunu iptal etti ve etkilenen sürümleri kullanımdan kaldırılmış olarak işaretledi. Zararlı sürümleri indirmiş olabilecek kullanıcıların, olası tehditleri azaltmak için güvenli bir sürüme geri dönmeleri önerilir. Şirket yaptığı açıklamada, "Potansiyel etki muazzam boyutta ve zararlı yazılımın kalıcılık mekanizması özellikle endişe verici – saldırganlar, yöneticiler paketleri güncelledikten sonra bile enfekte makinelerde erişimi sürdürüyorlar" dedi. Ancak, 9 Haziran 2025'te yayınlanan bir olay raporunda, proje yöneticileri, katkıda bulunanlarından biriyle ilişkili bir genel erişim jetonunun tehlikeye atıldığını ve böylece saldırganların react-native-aria paketlerinin yanı sıra bir @gluestack-ui/utils paketinin npm'ye yayınlamasına izin verdiğini kabul etti. Yöneticiler ayrıca, gerekli olmayan tüm katkıda bulunanlar için GitHub depo erişimini iptal ettiklerini ve yayınlama ile GitHub erişimi için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiklerini söyledi. Npm'de Yıkıcı Özelliklere Sahip Kötü Amaçlı Paketler Bu gelişme, Socket'in, meşru yardımcı programlar gibi görünen ancak tüm uygulama dizinlerini silebilen silecekler (wiper) yükleyen iki hileli npm paketi – express-api-sync ve system-health-sync-api – keşfetmesiyle ortaya çıktı. "botsailer" hesabı (e-posta: anupm019@gmail[.]com) tarafından yayınlanan paketler, kaldırılmadan önce sırasıyla 112 ve 861 kez indirildi. İki paketten ilki olan express-api-sync, iki veritabanı arasında verileri senkronize etmek için bir Express API olduğunu iddia ediyor. Ancak, şüphelenmeyen bir geliştirici tarafından uygulamalarına kurulduktan ve eklendikten sonra, önceden kodlanmış bir anahtar "DEFAULT_123" içeren bir HTTP isteği aldığında zararlı kodun yürütülmesini tetikliyor. Anahtarı aldığında, kaynak kodu, yapılandırma dosyaları, varlıklar ve yerel veritabanları dahil olmak üzere mevcut dizinden ve altındaki tüm dosyaları özyinelemeli olarak silmek için Unix komutu "rm -rf *"yi yürütür. Diğer paket çok daha karmaşıktır; hem bir bilgi hırsızı hem de bir silici olarak işlev görürken, işletim sisteminin Windows ("rd /s /q .") veya Linux ("rm -rf *") olmasına bağlı olarak silme komutlarını da değiştiriyor. npm paketinin dikkate değer bir yönü, gizli bir iletişim kanalı olarak e-postayı kullanması, saldırgan tarafından kontrol edilen posta kutusuna önceden kodlanmış SMTP kimlik bilgileri aracılığıyla bağlanmasıdır. Parola Base64 kodlamasıyla gizlenirken, kullanıcı adı Hindistan merkezli bir emlak ajansıyla ilişkili bir alan adını taşıyan bir e-posta adresini işaret ediyor ("auth@corehomes[.]in"). Veri sızdırma için SMTP kullanımı sinsidir, çünkü çoğu güvenlik duvarı giden e-posta trafiğini engellemez ve zararlı trafiğin meşru uygulama e-postalarıyla karışmasına olanak tanır. Ayrıca, paket "//system/health" ve "//sys/maintenance" uç noktalarını kaydederken, platforma özgü yıkım komutlarını serbest bırakır; ikincisi, ana arka kapı tespit edilirse ve engellenirse bir yedekleme mekanizması olarak işlev görür. İki yeni npm paketinin keşfi, saldırganların bilgi ve kripto para hırsızlığı için sahte kütüphaneleri kullanmanın ötesine geçerek sistem sabotajına odaklanmaya başladığını gösteriyor – bu, finansal bir fayda sunmadığı için sıra dışı bir gelişmedir. PyPI Paketi, Instagram Büyüme Aracı Olarak Kullanıcı Bilgilerini TopluyorBu aynı zamanda, yazılım tedarik zinciri güvenlik firmasının, PyPI (Python Paket Dizini) deposunda Instagram büyüme aracı olduğunu iddia eden yeni bir Python tabanlı kullanıcı bilgisi toplayıcısı imad213'ü keşfetmesiyle ortaya çıktı. Araştırmacı, "Zararlı yazılım, gerçek doğasını gizlemek için Base64 kodlaması kullanıyor ve Netlify'de barındırılan bir kontrol dosyası aracılığıyla uzaktan kapatma anahtarı uyguluyor," dedi. "Çalıştırıldığında, kullanıcılardan Instagram kullanıcı bilgilerini istiyor ve takipçi sayılarını artırıyormuş gibi yaparak bunları on farklı üçüncü taraf bot hizmetine yayınlıyor." Python kütüphanesi, 21 Mart 2025'te kayda katılan ve Facebook, Gmail, Twitter ve VK kullanıcı bilgilerini toplayabilen (taya, a-b27) veya Apache Bench'i kullanarak dağıtılmış hizmet reddi (DDoS) saldırılarıyla yayın platformlarını ve API'leri hedefleyen (poppo213) üç başka paket yükleyen im_ad__213 (diğer adıyla IMAD-213) adlı bir kullanıcı tarafından yüklendi. Hala PyPI'dan indirilebilir olan paketlerin listesi aşağıdadır: · imad213 · taya · a-b27 ) · poppo213 IMAD-213 tarafından "imad213"ün PyPI'ye yüklenmesinden yaklaşık iki gün önce yayınlanan bir GitHub README.md belgesinde, saldırgan, kütüphanenin esas olarak "eğitimsel ve araştırma amaçlı" olduğunu iddia ediyor ve herhangi bir kötüye kullanımdan sorumlu olmadıklarını belirtiyor. GitHub açıklaması ayrıca, kullanıcıları ana hesaplarında herhangi bir sorun yaşamamak için sahte veya geçici bir Instagram hesabı kullanmaya teşvik eden "aldatıcı bir güvenlik ipucu" içeriyor. Başlatıldığında, zararlı yazılım harici bir sunucuya bağlanır ve bir metin dosyasını ("pass.txt") okur ve yalnızca dosya içeriği "imad213" dizesiyle eşleşirse yürütmeye devam eder. Kapatma anahtarı birden fazla amaca hizmet edebilir; saldırganın kütüphaneyi kimlerin çalıştırma erişimi olduğunu belirlemesine veya kontrol dosyasının bağlamını basitçe değiştirerek indirilen her kopyayı kapatmasına olanak tanır. Bir sonraki adımda, kütüphane kullanıcıdan Instagram kullanıcı bilgilerini girmesini ister, bunlar daha sonra "credentials.txt" adlı bir dosyaya yerel olarak kaydedilir ve on farklı şüpheli bot hizmeti web sitesine yayınlanır; bunlardan bazıları muhtemelen aynı kuruluş tarafından işletilen Türk Instagram büyüme araçları ağına bağlanır. Alan adları Haziran 2021'de kaydedilmiştir. | 
Sadece otel, tatil köyü gibi uzun süreli konaklama alanlarında değil, artık konser alanları, stadyumlar, bekleme salonları gibi kısa süreli ...
Güvenlik bir ürün değil, süreçtir ( Bruce Schneier ) Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın alma...
Şirketimizin Ar-Ge faaliyetlerinin yanı sıra yoğunlaştığımız ve tüm ekip arkadaşlarımız ile birlikte keyifle gerçekleştirdiği projeler aras...
Son zamanlarda artan zararlı yazılımlara karşı ücretsiz bir çözüm hazırladık; özellikle JavaScript ile oluşturulmuş Ransomware 'lere ve...