Veracode araştırmacıları NPM ekosisteminde fırtınalar estiren yeni bir saldırı yöntemini gün yüzüne çıkardı. Pulsar RAT adı verilen bu zararlı yazılım sıradan görünümlü bir görselin piksellerine saklanarak güvenlik duvarlarını aşıyor. İşte yeni baş belası hakkındaki detaylar…
Yazılım dünyasının kalbi sayılan NPM platformu bugünlerde kurnaz bir stratejiyle hedef alındı. Veracode uzmanlarının yakaladığı Pulsar RAT vakasında, saldırganlar ‘typosquatting’ yani popüler araçların isimlerini bir iki harf değiştirerek taklit etme yöntemini kullanıyor. ‘Buildrunner-dev’ ismiyle sisteme sızan sahte paket, gerçek ‘buildrunner’ aracını indirmek isteyen dalgın geliştiricileri pusuya düşürüyor. Kurulumun hemen ardından sahneye çıkan ‘packageloader.bat’ dosyasında ise yüzlerce satırlık gereksiz kod yığını var. Ancak bu yığının içinde 21 satırlık gerçek komut bulunuyor. Geriye kalanlar sistemin dikkatini başka yöne çekmek için kurgulanmış.
İşin ürkütücü kısmı ise ‘steganography’ denilen yöntemde. Kötü niyetli kişiler söz konusu yöntemle, masum bir PNG dosyasındaki renk piksellerinin arasına virüs kodlarını nakış gibi işlemiş. Yazılım bilgisayara sızdığında renk verilerini okuyarak asıl darbeyi vuracak olan Pulsar RAT virüsünü aktif hâle getiriyor. Üstelik ‘process hollowing’ tekniğiyle güvenli bir programın içini boşaltıp, yerine kendi kodlarını yerleştirerek sistemde adeta hayalet gibi dolaşıyor. Bilgisayardaki antivirüs programlarını tek tek kontrol eden Pulsar RAT, ‘fodhelper.exe’ gibi sistem araçlarını da ele geçirerek hiçbir uyarı vermeden tüm yetkileri kontrol edebiliyor.
Siber güvenlik uzmanları, yazılım tedarik zincirine karşı gerçekleştirilen böyle karmaşık saldırılara karşı ‘Zero Trust’ yaklaşımının benimsenmesi gerektiğini belirtti. Hiçbir dijital kaynağa peşinen güvenmeme anlamına gelen ve her girişte kimlik kontrolü yapmaya benzeyen bu anlayışla birlikte, geliştiricilerin paket isimlerini titizlikle doğrulaması büyük önem taşıyor.
