Microsoft Defender: “Sahte Next.js İş Mülakat Testleri Geliştiricilerin Cihazlarında Arka Kapı Açıyor”

Microsoft Defender araştırma ekibi, yazılım geliştiricileri hedef alan ve iş temalı tuzaklar kullanan koordineli bir siber saldırı kampanyasını ortaya çıkardı. Açıklamaya göre saldırganlar, meşru Next.js projeleri ve teknik mülakat testleri gibi görünen kötü amaçlı kod depoları aracılığıyla geliştiricilerin cihazlarında uzaktan kod çalıştırmayı hedefledi.

Popüler bir JavaScript çerçevesi olan ve React üzerinde çalışan Next.js, Node.js altyapısıyla birlikte web uygulamaları geliştirmek için yaygın şekilde kullanılıyor. Microsoft, saldırganların bu popülerliği kullanarak sahte web uygulama projeleri oluşturduğunu ve bunları iş görüşmesi sürecinde aday geliştiricilerle paylaştığını bildirdi.

Araştırmacılar ilk olarak Bitbucket üzerindeki bir depoyu tespit etti. Ancak yapılan incelemelerde, benzer kod yapısı, yükleyici mantığı ve adlandırma kalıplarına sahip çok sayıda depo bulunduğu kaydedildi. Microsoft, bu durumun tekil bir saldırıdan ziyade koordineli bir operasyonu işaret ettiğini belirtti.

Birden Fazla Tetikleme Mekanizması

Microsoft’un paylaştığı teknik analizde, hedefin projeyi klonlayıp yerel ortamda açmasının ardından standart geliştirme süreci içinde kötü amaçlı JavaScript kodunun otomatik olarak çalıştığı aktarıldı.

Saldırı zincirine göre zararlı komut dosyası, saldırgana ait bir sunucudan ek bir JavaScript arka kapı kodu indiriyor ve bunu çalışan Node.js süreci içinde doğrudan bellekte yürütüyor. Bu yöntemle geliştiricinin makinesinde uzaktan kod çalıştırma (RCE) imkânı elde ediliyor.

Microsoft, enfeksiyon oranını artırmak amacıyla depolara birden fazla çalıştırma tetikleyicisi yerleştirildiğini açıkladı:

VS Code tetikleyicisi: .vscode/tasks.json dosyasında yer alan “runOn: 'folderOpen'” ayarı sayesinde proje klasörü açıldığı anda bir Node betiği otomatik olarak çalıştırılıyor.

Geliştirme sunucusu tetikleyicisi: Geliştirici “npm run dev” komutunu çalıştırdığında, değiştirilmiş bir JavaScript kütüphanesi gizli bir URL’yi çözüyor, uzaktaki sunucudan yükleyici indiriyor ve bunu bellekte çalıştırıyor.

Arka uç başlatma tetikleyicisi: Sunucu başlatıldığında bir arka uç modülü, .env dosyasındaki base64 kodlu uç noktayı çözüyor, process.env içeriğini saldırgana gönderiyor ve karşılık olarak gelen JavaScript kodunu “new Function()” ile yürütüyor.

İki Aşamalı Arka Kapı Yapısı

Microsoft’un analizine göre ilk aşamada (Stage 1) bırakılan JavaScript yükü, sistemi profilliyor ve bir komuta-kontrol (C2) sunucusuna kaydoluyor. Ardından sabit aralıklarla sunucuya bağlanarak komut bekliyor.

İkinci aşamada (Stage 2) ise ayrı bir C2 sunucusuna bağlanan görev denetleyicisi devreye giriyor. Bu aşamada sistem, uzaktan gönderilen JavaScript kodlarını bellekte çalıştırabiliyor, başlatılan süreçleri izleyebiliyor, dosya ve dizinleri listeleyebiliyor ve kademeli veri sızdırma gerçekleştirebiliyor.

Microsoft, kampanyada kullanılan depoların adlandırma düzeni, yükleyici yapısı ve altyapı bileşenleri arasında benzerlikler bulunduğunu vurguladı.

Araştırmacılar, saldırganın kimliği ya da operasyonun kapsamına ilişkin ayrıntı paylaşmadı.

Geliştiricilere Uyarı

Microsoft, geliştiricilerin “standart iş akışlarını dahi yüksek riskli saldırı yüzeyi olarak değerlendirmesi gerektiğini” belirtti. Şirket, VS Code Workspace Trust/Restricted Mode kullanımının zorunlu tutulmasını, Attack Surface Reduction kurallarının etkinleştirilmesini ve Entra ID Protection ile riskli oturum açmaların izlenmesini önerdi.

Ayrıca geliştirici uç noktalarında saklanan gizli anahtar ve kimlik bilgilerinin en aza indirilmesi, mümkün olan durumlarda kısa ömürlü ve en az ayrıcalığa sahip erişim belirteçlerinin kullanılması tavsiye edildi.

Kaynak: Beykozun Sesi