206 bin indirme sayısına sahip sahte NPM paketi kimlik bilgileri için GitHub'ı hedef aldı

Veracode'daki siber güvenlik araştırmacıları, GitHub'ın kendi kod tabanından kritik kimlik bilgilerini çalmayı amaçlayan bir saldırı keşfetti. Saldırı, bilgisayar korsanlarının geliştiricilerin JavaScript kodlarını paylaşmak için kullandığı devasa bir genel kütüphane olan npm'e (Node Paket Yöneticisi) sahte bir yazılım bileşeni yerleştirmesini içeriyordu.

Bilginize, npm paketi, geliştiricilerin kolayca paylaşıp projelerine entegre edebilecekleri kod, dokümantasyon ve meta veriler içeren bir klasördür. Bu paketler, geliştiricilerin her şeyi sıfırdan yazmak yerine, mevcut ve test edilmiş kod bileşenlerini yeniden kullanarak modern uygulamalar oluşturmalarına yardımcı olur.

Siber güvenlik firması Veracode'un tehdit araştırma ekibi, 7 Kasım Cuma günü GitHub Actions Toolkit'te yer alan " @acitons/artifact" adlı kötü amaçlı npm paketini işaretledi. Bu isim, dolandırıcıların şüphesiz kullanıcıları aldatmak için typosquatting adı verilen bir hileyi nasıl kullandıklarının açık bir örneği.

Bu tür saldırılar, kasıtlı olarak meşru bir ismin yazım hatasına benzeyen bir adın (gerçek paket @actions/artifact ) kaydedilmesini ve geliştiricilerin yanlışlıkla yanlış olanı indirmesini ummayı içerir. Kötü amaçlı paket, 206.000'den fazla kez indirilerek şaşırtıcı derecede popüler oldu.

Araştırmacılar, Hackread.com ile paylaşılan blog yazısında , teknik olarak Yazılım Tedarik Zinciri Arızası olarak adlandırılan bu tür ihlallerin büyük bir endişe kaynağı haline geldiğini, hatta OWASP TOP 10 2025 (RC1) en önemli riskler listesine girdiğini belirtti.

Sahte kod paketi, kurulumdan hemen sonra tehlikeli bir dizi başlatmak üzere ayarlanmıştı. GitHub token'larını çalmak için kötü amaçlı yazılım indirip çalıştıracak bir kurulum sonrası kancası (temelde özel bir betik) içeriyordu.

Bu belirteçleri, kod ortamı için geçici erişim anahtarları olarak düşünün. Veracode araştırmacıları, asıl amacın "derleme ortamında mevcut olan belirteçleri sızdırmak ve ardından bu belirteçleri kullanarak GitHub üzerinden yeni kötü amaçlı yazılımlar yayınlamak" olduğuna inanıyor.

Daha detaylı incelemeler, kötü amaçlı yazılımın son derece odaklı olduğunu gösterdi. Hangi depoda olduğunu kontrol etmek üzere programlanmış ve özellikle GitHub kuruluşuna ait depoları hedef alıyordu. Zararlı kod içindeki bir kontrol, "kuruluş GitHub değilse çıkış yapacağını" garanti ederek, saldırganların çekirdek platformu hedef aldığını doğruladı.

Araştırmacıların kötü amaçlı yazılımı ilk bulduklarında, popüler antivirüs yazılımlarının bile onu yakalayamadığını belirtmekte fayda var. Saldırganlar ayrıca, kodun 2025-11-06 UTC'den sonra çalışmayacağını belirten bir son kullanma tarihi de eklemişlerdi. Araştırma ayrıca " 8jfiesaf83 " adlı başka bir sahte paketi de tespit edip engelledi.

10 Kasım Pazartesi günü, paketin kötü amaçlı sürümleri, muhtemelen saldırganların kendileri veya GitHub tarafından devre dışı bırakıldı. İyi haber şu ki, Veracode, güvenlik hizmeti Package Firewall'u kullanan müşterilerinin, tehdit Cuma günü tespit edildikten hemen sonra korunduğunu doğruladı.