npm'de preinstall hook'u ile sessiz kötü amaçlı yazılım saldırısı
npm'de ele geçirilen jscrambler paketi, preinstall hook üzerinden Rust tabanlı bir infostealer yaydı. Olay ve alınması gereken önlemler.
Temmuz 2026'da, ticari bir JavaScript obfuscation paketi olan jscrambler'ın npm üzerindeki yayın kimlik bilgileri ele geçirildi ve yaklaşık üç saat içinde beş kötü amaçlı sürüm yayınlandı. Bu sürümler, GitHub deposundaki hiçbir commit veya release ile eşleşmiyordu; bu da paket sahiplerinin değil, çalınan yayın altyapısının saldırıyı gerçekleştirdiğini gösteriyor.
Saldırı, package.json'daki preinstall script mekanizmasını kötüye kullandı. Görünüşte zararsız bir loader dosyası, aslında Linux, Windows ve macOS için ayrı platform ikili dosyaları barındıran devasa bir container'a yönleniyordu. Rust ile yazılmış bu yükleme, tarayıcı kimlik bilgilerini, kripto cüzdanlarını ve Bitwarden kasalarını hedef alıyor, ardından kalıcılık sağlayıp Tor üzerinden veri sızdırıyordu. Bir güvenlik tarayıcısı olan Socket saldırıyı yayınlanmasından altı dakika sonra tespit etti, ama çoğu geliştirici ve CI hattı bu tür bir tarama kullanmıyor.
Bu olay, yapay zeka ajanlarının npm install gibi rutin adımları insan gözetimi olmadan çalıştırdığı ortamlarda özellikle tehlikeli: kimse terminal çıktısını satır satır okumuyor, ve ajan makinelerindeki tarayıcı oturumları tam olarak bu tür bir infostealer'ın peşinde olduğu türden gerçek kimlik bilgileri barındırıyor. Mühendisler için çıkarım net: install script'lerini denetlemek, --ignore-scripts bayrağını bilinçli kullanmak ve bağımlılıkları sabitleyip doğrulamak artık isteğe bağlı bir hijyen değil, zorunlu bir kontrol.