Görünmez Kod Kullanan Tedarik Zinciri Saldırısı GitHub ve Diğer Depoları Vurdu

Araştırmacılar, görünmez kod içeren kötü amaçlı paketlerle depoları dolduran bir tedarik zinciri saldırısı keşfettiklerini açıkladı. Bu teknik, geleneksel tehdit algılama yöntemlerini şaşırtıyor ve etkisiz hale getiriyor.

Aikido Security firmasından araştırmacılar, 3 Mart ile 9 Mart arasında GitHub’a yüklenen 151 kötü amaçlı paket tespit ettiklerini belirtti. Son on yılda yaygınlaşan bu tür tedarik zinciri saldırıları, genellikle yaygın kullanılan kod kütüphanelerine çok benzeyen isim ve kodlara sahip kötü amaçlı paketlerin yüklenmesiyle gerçekleşiyor. Amaç, geliştiricileri yanlışlıkla bu paketleri yazılımlarına dahil etmeye ikna etmek ve bazı durumlarda bu paketler binlerce kez indiriliyor.

Aikido’nun bu ay keşfettiği paketler ise yeni bir teknik kullanıyor: hemen hemen tüm editörlerde, terminalde ve kod inceleme arayüzlerinde görünmeyen kodun seçici kullanımı. Kodun çoğu normal ve okunabilir haldeyken, kötü amaçlı işlevler ve yükler insan gözüyle görünmeyen Unicode karakterleriyle gizleniyor. Aikido, bu taktiği geçen yıl ilk kez fark ettiklerini ve bunun manuel kod incelemelerini ve diğer geleneksel savunmaları neredeyse işe yaramaz hale getirdiğini belirtti. Bu saldırılardan etkilenen diğer depolar arasında NPM ve Open VSX de bulunuyor.