Yazılım dünyasının kalbi sayılan Axios’a sinsi bir siber saldırı düzenlendi. Bilgisayar korsanları popüler yazılımın içine kötü amaçlı kodlar gizleyerek on binlerce cihaza erişim sağladı. Neler olduğuna yakından bakalım…
Siber güvenlik şirketi StepSecurity’ye göre dijital suçlular geçtiğimiz gün Axios‘un baş geliştiricisinin hesabını ele geçirdi. Bunun ardından Axios’un iki farklı sahte sürümünü yayına aldılar. Yazılımcıların projelerini internete bağlamak için kullandığı Axios aslında bir köprü işlevi görüyor. Haftada yüz milyondan fazla indirilen bu npm paketi yani hazır yazılım şablonu, saldırganlar için adeta bulunmaz bir Hint kumaşı oldu.
Korsanlar izlerini kaybettirmek adına kurnaz bir yol izledi. Sahte sürümlerin içine doğrudan virüs koymak yerine özel bir komut yerleştirdiler. Söz konusu komut plain-crypto-js adlı başka bir dosyadan zararlı kodları çekip, kurbanların bilgisayarlarına trojan bulaştırdı. Böylece hackerler sistemlere uzaktan erişim sağlamayı başardı.
Uzmanlar sahte Axios sürümlerinin sadece üç saat yayında kaldığını ve ardından temizlendiğini belirtiyor. Ancak tehdit henüz tam olarak savuşturulmuş değil. Güvenlik araştırmacılarına göre sahte yazılımları indirip yükleyenler hâlen tehlike içinde. Huntress firmasının verileri de durumun ciddiyetini gözler önüne seriyor. İlk bulaşma vakası zararlı sürümler çıktıktan 89 saniye sonra kayıtlara geçti.
Elastic Security Labs ve Google ekipleri, saldırının arkasında kripto para çalmayı hedefleyen Kuzey Koreli hacker gruplarının olduğunu düşünüyor. Saldırının rastgele değil, planlanmış bir operasyon olduğu açıkça görülüyor. Yazılım projelerinin yapı taşlarına yönelik bu tarz tehditler giderek artarken şirketler de kalkanları sağlamlaştırmanın peşine düştü.
