Site icon Siber Havadis

Sahte İşe Alım Tuzağı: Kuzey Kore Bağlantılı PolinRider Kampanyası Geliştiricileri Hedef Alıyor

Sahte İşe Alım Tuzağı: Kuzey Kore Bağlantılı PolinRider Kampanyası Geliştiricileri Hedef Alıyor

Sahte İşe Alım Tuzağı: Kuzey Kore Bağlantılı PolinRider Kampanyası Geliştiricileri Hedef Alıyor

Siber güvenlik araştırmacıları, Kuzey Kore bağlantılı tehdit gruplarının yürüttüğü ve “PolinRider” adı verilen yeni bir tedarik zinciri saldırı kampanyasını ortaya çıkardı. Araştırmalara göre saldırganlar, npm, Packagist, Go ve Chrome ekosistemlerinde toplam 108 farklı kötü amaçlı paket ve tarayıcı eklentisi yayımladı. Geliştiricileri doğrudan hedef alan bu kampanya, açık kaynak ekosistemlerinin ve yazılım tedarik zincirlerinin karşı karşıya olduğu riskleri bir kez daha gündeme taşıdı.

Kampanyanın Arka Planı

PolinRider’ın, güvenlik araştırmacılarının “Contagious Interview” veya “Famous Chollima” adıyla takip ettiği Kuzey Kore bağlantılı operasyonların bir parçası olduğu değerlendiriliyor. Söz konusu gruplar, 2023 yılından bu yana özellikle yazılım geliştiricilerini ve kripto para sektöründe çalışan kişileri hedef alıyor.

Saldırganlar, LinkedIn ve GitHub gibi platformlarda işe alım uzmanı veya potansiyel iş ortağı kimliğiyle iletişime geçerek hedeflerini zararlı kod çalıştırmaya ikna etmeye çalışıyor. Bu yöntem sayesinde geliştiricilerin sistemlerine erişim sağlayarak daha geniş çaplı saldırılar gerçekleştirebiliyorlar.

İlk olarak npm ekosisteminde görülen PolinRider kampanyasının zamanla Packagist (PHP), Go modülleri ve Google Chrome eklentilerine kadar yayıldığı bildirildi. Araştırmalarda, toplam 162 kötü amaçlı sürümün 108 farklı pakete ait olduğu tespit edildi.

Saldırı Nasıl Gerçekleşiyor?

Saldırının temelinde, güvenilir görünen yazılım depolarına gizlenmiş JavaScript yükleyicilerinin eklenmesi bulunuyor. Zararlı kodlar, boşluk karakterleriyle gizlenerek veya sahte .woff2 yazı tipi dosyalarının içine yerleştirilerek güvenlik kontrollerini aşmaya çalışıyor.

Araştırmacılar ayrıca saldırganların GitHub hesaplarını ele geçirmek için süresi dolmuş alan adlarını devraldığı ve hesap kurtarma mekanizmalarındaki zafiyetlerden yararlandığını belirtiyor. Hesap ele geçirildiğinde ise birden fazla depo aynı anda değiştirilebiliyor ve kötü amaçlı paket sürümleri resmi kayıt depolarına yüklenebiliyor.

Dikkat çeken yöntemlerden biri de Git geçmişinin manipüle edilebilmesi. Saldırganlar, force push ve geçmiş tarihli commit tekniklerini kullanarak zararlı değişikliklerin daha eski ve güvenilir görünmesini sağlıyor. Bu nedenle yalnızca commit geçmişine güvenerek saldırıları tespit etmek her zaman mümkün olmuyor.

Çalıştırılan zararlı kod, JavaScript tabanlı bir yükleyici olarak görev yapıyor ve TRON, Aptos ile BNB Smart Chain altyapıları üzerinden şifrelenmiş ikinci aşama zararlı yazılımları indiriyor. Analizlerde, DEV#POPPER ve OmniStealer gibi bilgi hırsızlığı amacıyla kullanılan zararlı yazılımlar da tespit edildi.

Kuruluşlar Hangi Önlemleri Almalı?

Uzmanlar, etkilenen paketleri kullanan kuruluşların sistemlerini güvenliği ihlal edilmiş kabul etmelerini öneriyor. Bu kapsamda şu adımların atılması tavsiye ediliyor:

Araştırmacılara göre hâlâ aktif olan PolinRider kampanyası, açık kaynak bağımlılıklarının düzenli olarak denetlenmesi ve geliştirici hesaplarının güçlü güvenlik önlemleriyle korunmasının artık bir tercihten ziyade zorunluluk olduğunu gösteriyor.

Exit mobile version