Yeni Bir Tehdit: Gizli Kod Kullanımı
Araştırmacılar, GitHub gibi platformlarda kötü amaçlı paketlerin gizli kodlar içeren tedarik zinciri saldırılarıyla yüklendiğini tespit etti. Aikido Security'den gelen verilere göre, 3-9 Mart tarihleri arasında 151 kötü amaçlı paket belirlendi. Bu tür saldırılar, yazılım geliştiricilerini yanlış yönlendirmek amacıyla yaygın olarak kullanılan kod kütüphanelerinin isimleriyle benzerlik gösteren kötü amaçlı paketlerin yüklenmesiyle gerçekleşiyor. Özellikle bu kötü amaçlı paketler, binlerce kez indirilmiş durumda.
Görünmeyen Tehditler ve Geleneksel Savunmalar
Aikido'nun bulduğu paketler, görünmeyen unicode karakterlerini kullanarak dikkat çekmeden kötü amaçlı kod içermekte. Bu yöntem, geleneksel savunma sistemlerini etkisiz hale getiriyor. Normalde okunabilir durumda olan kodların arasında, insan gözünün algılayamayacağı şekilde gizlenmiş kötü amaçlı fonksiyonlar ve yükler bulunuyor. Aikido, bu taktiği geçen yıl ilk kez tespit etti. NPM ve Open VSX gibi diğer depolar da bu saldırılardan nasibini aldı.
Nasıl Tespit Edilir?
Kötü amaçlı paketlerin tespitini zorlaştıran bir diğer faktör, görünür kısımlarının yüksek kalitede olması. Aikido araştırmacıları, “Kötü niyetli eklemeler, açıkça şüpheli değişiklikler içermiyor,” diyor. Değişikliklerin çoğu, proje hedefleriyle stil açısından tutarlı olan belgelerdeki güncellemeler, sürüm artışları, küçük yeniden yapılandırmalar ve hata düzeltmeleri içeriyor.
AI Kullanımı Üzerine Şüpheler
Araştırmacılar, bu saldırı grubuna Glassworm adını verdi. Manuel olarak 151'den fazla özelleştirilmiş kod değişikliği oluşturmanın pratikte mümkün olmadığını belirtiyorlar. Güvenlik firması Koi da benzer şekilde aynı grubun yapay zeka (AI) kullanabileceğinden şüpheleniyor. AI, bu tür paketlerin inandırıcı bir şekilde oluşturulmasında etkili bir rol oynuyor.
Bu gelişmeler, yazılım güvenliği açısından ciddi bir tehdit oluşturuyor. Geliştiricilerin, kod inceleme süreçlerini gözden geçirmesi ve yeni savunma stratejileri geliştirmesi şart.
