Bir soketin tehdit araştırma ekibi, NPM ekosistemini hedefleyen ve üç ayrı hesap altında yayınlanan 60 kötü amaçlı paketleri hedefleyen sofistike ve devam eden bir kampanya ortaya koydu: BBBB335656, CDSFDFAFD49Group2436437 ve SDSDS656565.
İlk olarak sadece on bir gün önce tespit edildi, en son paket bu rapordan sadece saatler önce görünen bu paketler, NPM yükleme işlemi sırasında etkinleştirilen gizli bir komut dosyası yerleştirdi.
Bu komut dosyası, ana bilgisayar adları, dahili ve harici IP adresleri, DNS sunucu yapılandırmaları, kullanıcı adları ve kullanıcı dizin yolları dahil olmak üzere hassas sistem verilerini titizlikle toplar.
.png
)
Gizli NPM kampanyası
Hasat edilen veriler daha sonra tehdit oyuncusu tarafından kontrol edilen bir anlaşmazlık webhook’a eklenir ve enfekte sistemlerin Windows, macOS ve Linux ortamlarında gerçek zamanlı izlenmesini sağlar.
3.000’den fazla kombine indirme ile bu işlem, saldırgana ayrıntılı bir geliştirici ve kurumsal ağ haritası sağlar ve potansiyel takip müdahaleleri için zemin hazırlar.
Teknik inceliklere giren bu paketlerdeki kötü amaçlı komut dosyası, node.js modüllerini kaldırır os Ve dns Enfekte makineler parmak izi.
Ipinfo gibi harici hizmetleri sorgularken dahili IP adreslerini yakalamak için yerel ağ arayüzlerini numaralandırır[.]IO, kamuya açık IP detayları elde etmek için.
Ek olarak, komut dosyası, AWS, GCP veya ortak araştırma VM’lerini gösteren ortamları, ana bilgisayar adı kontrolleri veya dizin kalıpları aracılığıyla algılarsa, yürütmeyi iptal ederek Sandbox-evasion mantığını içerir.
Bu seçici hedefleme, tehdit oyuncunun test sistemlerinden ziyade gerçek kurbanlara odaklanma niyetinin altını çiziyor.
Kötü niyetli yükün teknik derinliği
Kapsamlı bir JSON BLOB olarak biçimlendirilen toplanan veriler, paket adları, proje yolları ve organizasyonel detaylar gibi kritik tanımlayıcılar içerir ve daha sonra sabit kodlu bir anlaşmazlık webhook URL’sine aktarılır.
Soket raporuna göre, 60 paketin tamamında aynı olan bu keşif yükü, özellikle dahili kayıt defteri URL’lerinin ve inşa yollarının ortaya çıkabileceği ve gelecekteki tedarik zinciri saldırılarını kolaylaştırabileceği sürekli entegrasyon sunucularında önemli bir stratejik risk oluşturmaktadır.
Şu anda veri toplama ile sınırlı olmasına rağmen, istihbarat özel ortamları kamu altyapısına bağlayan toplanan, ele alınmazsa daha yıkıcı kampanyaların yolunu açabilir.
NPM Kayıt Defteri, bu paketleri henüz kaldırmamış veya ilgili hesapları askıya almamış, ek sürümler olasılığını rafine kaçırma teknikleri veya yükseltilmiş yüklerle artırmamıştır.
Bu kampanyanın aktif niteliği göz önüne alındığında, yükleme sonrası kancalar için NPM kayıt defteri korkuluklarının olmaması kritik bir güvenlik açığı olmaya devam etmektedir.
Savunucular, şüpheli yükleme sonrası komut dosyalarını, sabit kodlu URL’leri ve minimal tarball boyutlarını tespit etmek için bağımlılık tarama araçlarını entegre etmeleri istenir.
Github uygulaması, CLI ve tarayıcı uzantısı gibi araçlar, kurulumlar sırasında veya tarama sırasında riskli desenleri işaretleyebilir ve bu tür tehditlere karşı geliştirme boru hatlarını güçlendirebilir.
Tehdit oyuncusu çalışmaya devam ettikçe, bir toplanan keşif verilerine dayanan daha derin müdahalelere hazırlanırken, NPM ekosisteminde daha fazla uzlaşmayı önlemek için proaktif önlemler esastır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü amaçlı hesaplar | bbbb335656 (npm9960+1@gmail[.]com), sdsds656565 (npm9960+2@gmail[.]com), cdsfdfafd1232436437 (npm9960+3@gmail[.]com) |
| Paket sayısı | 60 (hesap başına 20) |
| Pessfiltrasyon uç noktası | hxxps: // Discord[.]com/api/webhooks/133001505142005555/5fl497pcjzkbiy3b_oa9yrh-r5lr69vryqcawxuwe_horilhwyzp23jwm-iisxupq |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!