Yazılım geliştiricilerinin günlük çalışmalarında en çok kullanılan araçlardan biri olan NPM paketleri, tüm dünyada milyonlarca uygulamanın temel tuğlalarını oluşturmaktadır ve bu nedenle yazılım geliştirme ekosisteminde kritik bir yere sahiptir. Ancak, son bir ifadeye göre, bilgisayar güvenliği dünyası, son zamanların en büyük olaylarından biriyle karşılaştı.
“JavaScript hikayesindeki en büyük hack etkinliklerinden biri”
WebTekno'daki bu haberlere göre, BT güvenlik uzmanları, Son zamanların en büyük bilgisayar saldırılarından biriTanımlamayı başardılar. Uygulamalar geliştiricileri için vazgeçilmez olan ve GitHub'ın “NPM” paketleri altında olan “NPM” paketlerine kötü amaçlı yazılım yüklemeyi başardı. Uzmanlara göre, enfekte NPM paketlerinin haftada 2 milyardan fazla indirmesi vardı.
Bilgisayar korsanı bu bilgisayar saldırısına kimlik avlanması ile sahtekarlık teknikleriyle saldırdı. Alınan bilgilere göre, NPM paketlerinin bakımının başkanı Josh Junon adlı bir yazılım geliştiricisi, kendisine gönderilen kimliğe avlanma e-postasını göremedi. İki faktörlü kimlik doğrulamasının yenilenmesi ve GitHub'dan geldiği gösterilmesi gereken e-posta, BT güvenlik uzmanlarına göre NPM tarihinin en büyük ihlaline neden oldu.
Kötü amaçlı yazılımlarla enfekte bulunan NPM paketleri kaldırıldı
Kazayı hemen bildiren Josh Junon, kötü amaçlı yazılımlarla enfekte olan NPM paketlerinin kaldırılmasını sağladı. Kazayı kaç kullanıcının etkilediği bilinmemektedir, ancak BT güvenlik uzmanlarına göre hızlı tepki riski minimum seviyeye düşürmüştür. Bu fark edilmezse, bilgisayar korsanı yazılım aracılığıyla tüketicilerin kripto para birimlerinin hesaplarına erişebilir ve parayı cüzdanlarına aktarırdı.
Ayrıca NPM paketleri hakkında bilgi veriyoruz. JavaScript dili için geliştirilen bir paket yönetim sistemi olan NPM, geliştiricilere büyük bir kolaylık sunuyor. Yazılım geliştiricisi bu paketleri uygulamasına entegre ettiğinden, karakterlerin dönüştürülmesi ve metne renk eklenmesi gibi temel ama etkili işlevsellik sağlar. Ne kadar önemli olduğunun farkında olan Hacker, 2 milyardan fazla haftalık indirme numarası ile 18 NPM paketini seçti ve onlara saldırdı. Neyse ki, kaza hızla fark edildi ve korku yok …