TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- Paketlər npm istifadəçisi deadcode09284814 ilə əlaqələndirilir və onlardan biri axios-utils adlanır.
- Yükə daxil edilən kod credential və token kimi həssas məlumatları toplamağa yönəlib və Telegram botları vasitəsilə ötürülür.
- Quraşdırma zamanı göstərilən saxta setup wizard istifadəçini yüksək səlahiyyət verməyə yönəldir, bu da təchizat zənciri riskini artırır.
Ətraflı Məqalə
Təhlükəsizlik tədqiqatçıları npm ekosistemində dörd zərərli paketin aktiv şəkildə yayıldığını müəyyən edib. Bu paketlər cəmi 3006 dəfə yüklənib və onların içində həm infostealer funksiyası, həm də Phantom Bot adlı DDoS komponenti var. Nəticə, açıq mənbə paket reyestrlərinin hücumçular üçün nə qədər asan paylama kanalı ola bildiyini yenidən göstərir.
Araşdırmaya görə, paketlərdən biri olan axios-utils hədəf veb-saytlara qarşı HTTP, TCP və UDP trafiki ilə yük yaratmaq üçün istifadə edilə bilən Golang əsaslı botneti işə salır. Digər paketlər isə istifadəçi məlumatlarını, o cümlədən etimadnamələr və tokenləri toplamağa yönəlib. Toplanan məlumatın Telegram botları vasitəsilə kənara çıxarılması, hücumun həm gizliliyə, həm də əməliyyat davamlılığına təsir etdiyini göstərir.
Paketlərin davranışı sadə zərərli kod yerləşdirməsindən daha geniş risk yaradır, çünki quraşdırma mərhələsində aldadıcı setup wizard istifadə olunur. Bu yanaşma tərtibatçı mühitində etibar edilən alət kimi görünən asılılıqlar vasitəsilə imtiyaz qazanmağa çalışır. Nəticədə təhlükə yalnız fərdi istifadəçi səviyyəsində qalmır, həm də müəssisə hesabları, daxili sistemlər və paylanmış infrastruktur üçün genişlənə bilir.
Bu hadisə açıq mənbə təchizat zəncirində paket seçimində yoxlamanın nə qədər vacib olduğunu göstərir. Xüsusilə çoxmühitli və çoxbuludlu inkişaf proseslərində bir zərərli asılılıq bir neçə komanda və xidmətə eyni anda təsir edə bilər. İstifadəçilərə zərərli paketləri silmək, açıqlanmış məlumatlara görə etimadnamələri yeniləmək və npm-dən gələn xəbərdarlıqları izləmək tövsiyə olunur.
