Küresel CDN Hizmeti ‘JSDelivr’, Kimlik Avı Saldırısına Uğradı!
CDN bir diğer adıyla “İçerik dağıtım ağı” servisi olan ve dünya genelinde birçok kod geliştirici tarafından kullanılan “‘jsdelivr” kimlik avı saldırısına uğradığı belirlendi.
“jsdelivr” CDN: Küresel Bir İçerik Dağıtım Merkezi
Açık kaynaklı bir içerik dağıtım ağı olan jsdelivr, geliştiricilerin web projeleri için harici kitaplıklar ve kaynaklar da dahil olmak üzere dosyaları barındırması ve dağıtması için hızlı ve güvenilir bir yol sunar. Dünya çapında dağıtılan sunucularla küresel bir CDN olarak çalışan jsdelivr, dosyaların kullanıcının konumuna en yakın sunucudan alınmasını sağlayarak performansı optimize eder ve gecikmeyi azaltır. Sürüm oluşturma desteği, geliştiricilerin belirli kitaplık sürümlerine başvurmasına olanak tanıyarak güncellemeler sırasında proje kararlılığını garanti eder.
Kötü amaçlı “reactenz” paketinin yakın zamanda keşfedilmesi, sistemdeki ilgili bir kusura dikkat çekti. Paket, GitHub kod parçacıklarında yaygın olarak kullanılan popüler “react-enzyme” paketine meşru bir alternatif gibi göründü. Ancak daha detaylı araştırmalar sonucunda “reactenz”in kötü niyetli olduğu ortaya çıktı.
Bir web sayfasına entegre edildikten sonra “reactenz”, jsdelivr CDN hizmetinden kodlanmış bir .txt dosyası indirdi ve HTML olarak kodunu çözdü. .txt dosyasının içeriğinin, kullanıcıları Microsoft parolalarını sıfırlamaları ve güncel kimlik bilgilerini çalmaları için kandırmak üzere tasarlanmış klasik bir kimlik avı HTML kodu olduğu ortaya çıktı. Özellikle rahatsız edici olan şey, “reactenz”in NPM’de kötü amaçlı olarak işaretlendikten sonra bile CDN aracılığıyla hâlâ erişilebilir olmasıdır.
CDN Güvenlik Açıkları ve Tedarik Zinciri Saldırıları
Bu olay iki kritik sorunu ortaya çıkarıyor. İlk olarak, NPM kötü amaçlı paketleri hızlı bir şekilde kaldırmaya çalışırken, CDN aracılığıyla sunulan içerik tespit edildikten sonra da uzun süre erişilebilir durumda kalır. İkinci olarak, tehdit aktörleri, genellikle potansiyel kötü amaçlı göstergeler için web indirmelerini izleyen geleneksel güvenlik araçlarından kaçınırken, kötü amaçlı içeriğe hizmet etmek için CDN hizmetlerinden yararlanabilir.
Bir başka endişe verici keşif, NPM’de kötü amaçlı olarak işaretlendikten bir ay sonra bile jsdelivr CDN aracılığıyla erişilebilen kötü amaçlı “standforusz” paketiydi. Benzer bir durum, bir yıldan uzun bir süre önce kötü niyetli olarak tanımlanan ancak CDN’de hala erişilebilir kötü amaçlı bileşenlere sahip olan “markedjs” paketinde bulundu.
Sonuç olarak, jsdelivr CDN’nin son istismarı, açık kaynak topluluğunda sürekli tetikte olma ve işbirliğine duyulan ihtiyacın altını çiziyor. Geliştiriciler, güvenli bir geliştirme sürecini sürdürerek ve potansiyel riskler hakkında bilgi sahibi olarak, projelerinin bütünlüğünü ve son kullanıcıların güvenliğini korumak için birlikte çalışabilirler.