Sahte otomasyon araçlarıyla yayılım
Ruby programlama dilinin resmi paket yöneticisi RubyGems.org üzerinde, farklı takma adlar kullanan saldırganlar tarafından yayımlanan zararlı kütüphaneler, özellikle Güney Koreli kullanıcıları hedef aldı. Paketler, WordPress, Telegram, Naver Café, SEO araçları ve blog platformlarına yönelik otomasyon yazılımları gibi tanıtıldı.

Gerçekte kimlik avı aracı
Kütüphaneler kurulduğunda meşru görünümlü bir arayüz sunuyor, ancak kullanıcı giriş bilgilerini doğrudan saldırganların kontrolündeki alan adlarına (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr) iletiyordu. Çalınan veriler arasında kullanıcı adı, şifre (düz metin), cihaz MAC adresi ve paket adı bulunuyor.

Karanlık ağda satışa çıktı
Araştırmacılar, elde edilen bilgilerin Rusça konuşulan dark web pazarlarında satışa çıkarıldığını tespit etti. Kimlik bilgisi günlüklerinin saldırganların kontrol ettiği marketingduo[.]co[.]kr ile bağlantılı olduğu belirlendi.

16 paket hâlâ yayında
Socket, tüm zararlı paketleri RubyGems ekibine bildirdiğini, ancak en az 16’sının hâlâ indirilebilir olduğunu açıkladı. Bu durum, açık kaynak yazılım depolarına yönelik tedarik zinciri saldırılarının süregelen bir tehdit olduğunu gösteriyor.

Geliştiricilere uyarı
Uzmanlar, kütüphaneleri indirirken yayıncının geçmişini ve paketlerin şüpheli kod içerip içermediğini kontrol etmeyi, bağımlılıkları güvenli sürümlere kilitlemeyi ve obfuscation (gizlenmiş) kod parçaları içeren paketlere karşı dikkatli olunması gerektiğini vurguluyor.

Kaynak: CUMHA – CUMHUR HABER AJANSI