Yardımcı Uygulama Gibi Görünen NPM Paketlerinin Proje Dizinlerini Sildiği Ortaya Çıktı

JavaScript geliştiricileri için önemli bir kaynak olan npm paket dizininde iki yeni kötü amaçlı yazılım keşfedildi. ‘express-api-sync’ ve ‘system-health-sync-api’ adlarını taşıyan bu paketler, zararsız yardımcı araçlar gibi sunuldu ancak aslında kullanıcı projelerinin tamamını silen veri yok edici işlevler içerdi.

Güvenlik firması Socket’in tespitlerine göre, her iki paket de uzaktan tetiklenebilen ve sistemdeki tüm uygulama dosyalarını silen arka kapılar barındırıyor. Paketlerin Mayıs 2025’te npm’de yayımlandığı ve Socket’in ihbarı sonrası yayından kaldırıldığı bildirildi.

Veri Silen Kodlar Gizli Uç Noktalarla Aktif Hâle Geliyor

İlk kötü amaçlı paket olan “express-api-sync”, tehlikeli bir arka kapı oluşturarak sistem güvenliğini tehdit ediyor. Bu paket, sunucu üzerinde gizli bir uç nokta olan /api/this/that adresini oluşturuyor ve POST isteklerini kabul ediyor.

Saldırganlar, bu uç noktaya *“DEFAULT_123” anahtarını içeren bir istek gönderdiğinde, sistemde “rm -rf ” komutunu çalıştırabiliyor. Bu kritik komut, uygulamanın bulunduğu dizindeki tüm dosyaları geri dönüşü olmayan bir şekilde siliyor. Kaynak kodları, yapılandırma dosyaları, yüklenen içerikler ve yerel veritabanları dâhil olmak üzere tüm kritik veriler, bu saldırı sonucunda tamamen yok olabiliyor.

Socket, saldırının başarılı ya da başarısız olduğunu belirten geri bildirimlerin saldırgana HTTP yanıtı olarak iletildiğini belirtiyor. Mesaj örnekleri arasında “Tüm dosyalar silindi” ifadesi de yer alıyor.

İkinci kötü amaçlı paket olan ‘system-health-sync-api’, daha gelişmiş bir saldırı stratejisi izliyor. Bu paket, çok sayıda arka kapı işlevine sahip farklı uç noktalar tanımlıyor. Geliştiricilerin sistemine sızan bu yazılım, ‘HelloWorld’ anahtar kelimesi ile tetikleniyor ve ardından hedef sistemin işletim sistemine uygun komutla silme işlemi gerçekleştiriliyor.

Linux sistemlerde “rm -rf *” komutu kullanılırken, Windows sistemlerde “rd /s /q .” komutu devreye giriyor. İşlem tamamlandığında, saldırgan e-posta yoluyla bilgilendiriliyor. Gönderilen bilgiler arasında hedefin sistem parmak izi, dosya silme sonucu ve sunucu adresi bulunuyor.

Socket, bu tip yazılımların klasik zararlı yazılımlardan farklılaştığını vurguluyor. Çünkü bu paketler veri çalmıyor ya da kripto para hedeflemiyor. Bunun yerine sistemdeki tüm verileri yok ediyor. Bu durum, saldırganların finansal kazançtan ziyade sabotaj ya da rekabet amacı güttüğünü düşündürüyor.

npm üzerinde bu tür zararlı yazılımların görülmesi alışılmadık bir durum olsa da açık kaynak ekosisteminde güvenlik denetimlerinin ne kadar hayati olduğunu bir kez daha ortaya koyuyor. Uzmanlar, geliştiricilerin bilinmeyen paketleri kullanmadan önce mutlaka kodları incelemesini ve güncel güvenlik uyarılarını takip etmesini öneriyor.