Sahte İşe Alım Tuzağı: Kuzey Kore Bağlantılı PolinRider Kampanyası Geliştiricileri Hedef Alıyor

Siber güvenlik araştırmacıları, Kuzey Kore bağlantılı tehdit gruplarının yürüttüğü ve “PolinRider” adı verilen yeni bir tedarik zinciri saldırı kampanyasını ortaya çıkardı. Araştırmalara göre saldırganlar, npm, Packagist, Go ve Chrome ekosistemlerinde toplam 108 farklı kötü amaçlı paket ve tarayıcı eklentisi yayımladı. Geliştiricileri doğrudan hedef alan bu kampanya, açık kaynak ekosistemlerinin ve yazılım tedarik zincirlerinin karşı karşıya olduğu riskleri bir kez daha gündeme taşıdı.

Kampanyanın Arka Planı

PolinRider’ın, güvenlik araştırmacılarının “Contagious Interview” veya “Famous Chollima” adıyla takip ettiği Kuzey Kore bağlantılı operasyonların bir parçası olduğu değerlendiriliyor. Söz konusu gruplar, 2023 yılından bu yana özellikle yazılım geliştiricilerini ve kripto para sektöründe çalışan kişileri hedef alıyor.

Saldırganlar, LinkedIn ve GitHub gibi platformlarda işe alım uzmanı veya potansiyel iş ortağı kimliğiyle iletişime geçerek hedeflerini zararlı kod çalıştırmaya ikna etmeye çalışıyor. Bu yöntem sayesinde geliştiricilerin sistemlerine erişim sağlayarak daha geniş çaplı saldırılar gerçekleştirebiliyorlar.

İlk olarak npm ekosisteminde görülen PolinRider kampanyasının zamanla Packagist (PHP), Go modülleri ve Google Chrome eklentilerine kadar yayıldığı bildirildi. Araştırmalarda, toplam 162 kötü amaçlı sürümün 108 farklı pakete ait olduğu tespit edildi.

Saldırı Nasıl Gerçekleşiyor?

Saldırının temelinde, güvenilir görünen yazılım depolarına gizlenmiş JavaScript yükleyicilerinin eklenmesi bulunuyor. Zararlı kodlar, boşluk karakterleriyle gizlenerek veya sahte .woff2 yazı tipi dosyalarının içine yerleştirilerek güvenlik kontrollerini aşmaya çalışıyor.

Araştırmacılar ayrıca saldırganların GitHub hesaplarını ele geçirmek için süresi dolmuş alan adlarını devraldığı ve hesap kurtarma mekanizmalarındaki zafiyetlerden yararlandığını belirtiyor. Hesap ele geçirildiğinde ise birden fazla depo aynı anda değiştirilebiliyor ve kötü amaçlı paket sürümleri resmi kayıt depolarına yüklenebiliyor.

Dikkat çeken yöntemlerden biri de Git geçmişinin manipüle edilebilmesi. Saldırganlar, force push ve geçmiş tarihli commit tekniklerini kullanarak zararlı değişikliklerin daha eski ve güvenilir görünmesini sağlıyor. Bu nedenle yalnızca commit geçmişine güvenerek saldırıları tespit etmek her zaman mümkün olmuyor.

Çalıştırılan zararlı kod, JavaScript tabanlı bir yükleyici olarak görev yapıyor ve TRON, Aptos ile BNB Smart Chain altyapıları üzerinden şifrelenmiş ikinci aşama zararlı yazılımları indiriyor. Analizlerde, DEV#POPPER ve OmniStealer gibi bilgi hırsızlığı amacıyla kullanılan zararlı yazılımlar da tespit edildi.

Kuruluşlar Hangi Önlemleri Almalı?

Uzmanlar, etkilenen paketleri kullanan kuruluşların sistemlerini güvenliği ihlal edilmiş kabul etmelerini öneriyor. Bu kapsamda şu adımların atılması tavsiye ediliyor:

  • Etkilenen ortamı izole ederek güvenilir bir sistem üzerinden yeniden oluşturmak.
  • Açığa çıkmış olabilecek API anahtarlarını, erişim anahtarlarını, tokenleri ve diğer gizli bilgileri yenilemek.
  • GitHub depolarını ve kayıt defteri günlüklerini ayrıntılı şekilde inceleyerek .vscode/tasks.json, config.js, vite.config.js ve eslint.config.js gibi yapılandırma dosyalarında şüpheli değişiklikleri kontrol etmek.
  • Bilinen güvenilir bir lockfile kullanarak projeyi yeniden derlemek.

Araştırmacılara göre hâlâ aktif olan PolinRider kampanyası, açık kaynak bağımlılıklarının düzenli olarak denetlenmesi ve geliştirici hesaplarının güçlü güvenlik önlemleriyle korunmasının artık bir tercihten ziyade zorunluluk olduğunu gösteriyor.

Related Posts

OpenAI’dan GPT-Live: Aynı Anda Dinleyip Konuşabilen Yeni Ses Modeli

Yapay zeka lideri OpenAI, eş zamanlı olarak hem dinleme hem de konuşma yeteneğine sahip yeni ses modeli ailesi GPT-Live’ı duyurdu. Dünya genelinde kullanıma açılan yeni seri, amiral gemisi “GPT-Live-1” ve…

Microsoft SharePoint Açığı: Aktif Saldırılarda Kullanılıyor

Microsoft SharePoint Server’da tespit edilen kritik bir güvenlik açığı, aktif siber saldırılarda kullanılmaya başlandı. CVE-2026-45659 koduyla takip edilen açık, saldırganların savunmasız SharePoint sunucularında uzaktan kod çalıştırmasına olanak tanıyor. ABD Siber…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir