Paket Kayıt Defterinde, ana bilgisayar adlarını, IP adreslerini, DNS sunucularını ve kullanıcı dizinlerini hasat etmek için kötü niyetli işlevlere sahip 60 kadar kötü amaçlı NPM paketi keşfedilmiştir.
Soket güvenlik araştırmacısı Kirill Boychenko, geçen hafta yayınlanan bir raporda, üç farklı hesap altında yayınlanan paketlerin NPM yüklemesi sırasında tetiklenen bir yükleme zamanı komut dosyası ile birlikte geldiğini söyledi. Kütüphaneler toplu olarak 3.000’den fazla indirildi.
Yazılım tedarik zinciri güvenlik firması, “Komut dosyası pencereleri, macOS veya Linux sistemlerini hedefliyor ve temel kum havuzu – evresyon kontrolleri içerir, her enfekte her iş istasyonunu veya sürekli entegrasyon düğümünü potansiyel bir değerli keşif kaynağı haline getirir.” Dedi.
Her biri 11 günlük bir süre içinde 20 paket yayınlayan üç hesabın adları aşağıda listelenmiştir. Hesaplar artık NPM’de mevcut değil –
- BBB35656
- CDSFDFAFD1232436437 ve
- SDSDS656565
Soket başına kötü amaçlı kod, paketi yükleyen her makineyi parmak izlemek için açıkça tasarlanmıştır ve Amazon, Google ve diğerleriyle ilişkili sanallaştırılmış bir ortamda çalıştığını tespit ederse yürütmeyi iptal eder.
Ana bilgisayar detayları, sistem DNS sunucuları, ağ arayüz kartı (NIC) bilgileri ve dahili ve harici IP adreslerini içeren hasat bilgileri daha sonra bir anlaşmazlık webhook’a iletilir.
Boychenko, “Dahili ve harici IP adreslerini, DNS sunucularını, kullanıcı adlarını ve proje yollarını toplayarak, bir tehdit oyuncusu ağı grafiklendirmesini ve gelecekteki kampanyalar için yüksek değerli hedefleri belirlemesini sağlar.” Dedi.
Açıklama, React, Vue.js, Vite Node.js ve Open-Source Quill editörü dahil olmak üzere yaygın olarak kullanılan JavaScript çerçeveleri için yardımcı kütüphaneler olarak maskelenen sekiz NPM paketinden oluşan başka bir set izler, ancak yüklü bir kez yıkıcı yükler dağıtır. 6.200’den fazla indirildi ve hala depodan indirilebilir –
- Hızlı plugin-vue-ex
- Titrem Image-Downloader
- JS-Hood
- JS-Bomba
- vue-plugin bomba
- Vite-plugin-bomba
- Vite-plugin-bomba uzatma ve
- Vite-Plugin-React-Extend
Soket Güvenlik Araştırmacısı Kush Pandya, “Meşru eklentiler ve yardımcı programlar olarak maskelenmek, verileri yozlaştırmak, kritik dosyaları silmek için tasarlanmış yıkıcı yükler içeriyorken, bu paketler tespit edilmemiş kaldı.” Dedi.
Belirlenen paketlerin bazılarının, geliştiriciler projelerinde çağırdıktan sonra otomatik olarak yürütüldüğü ve Vue.js, React ve Vite ile ilgili dosyaların özyinelemeli olarak silinmesini sağladıktan sonra bulunmuştur. Diğerleri ya temel JavaScript yöntemlerini yozlandırmak için tasarlanmıştır veya localStorage, SessionStorage ve çerezler gibi tarayıcı depolama mekanizmalarına karşı kurcalama için tasarlanmıştır.
Başka bir not paketi, yürütmenin geçerli zamanına göre bir sistem kapatma başlatarak Vue.js çerçeve dosyalarını silmenin ötesine geçen JS-Bomb’dur.
Etkinlik, amaçlandığı gibi çalışan beş meşru, kötü niyetli olmayan paket yayınlayan Xuxingfeng adında bir tehdit oyuncusu olarak izlendi. Rogue paketlerinden bazıları 2023 yılında yayınlandı. “Hem zararlı hem de yararlı paketlerin yayınlanmasının bu ikili yaklaşımı, kötü niyetli paketlerin güvenilir ve kurulumunu artıran bir meşruiyet cephesi yaratıyor.” Dedi.
Bulgular ayrıca, geleneksel e-posta kimliklerini iyi huylu bir açık kaynak kütüphanesi olarak gizlenmiş kötü amaçlı bir NPM paketinin bir parçası olan JavaScript koduyla birleştiren yeni bir saldırı kampanyasının keşfini takip ediyor.
Fortra araştırmacısı İsrail Cerda, “İletişim kurulduktan sonra, paketin kurbanın e-posta adresini kullanarak özelleştirilmiş kimlik avı bağlantılarını özelleştiren ikinci aşamalı bir senaryo yükledi ve bunları kimlik bilgilerini çalmak için tasarlanmış sahte bir Office 365 giriş sayfasına götürdü.” Dedi.
Saldırının başlangıç noktası, JSDelivr’de barındırılan ve Citiycar8 adlı şu anda kaldırılmış bir NPM paketiyle ilişkili şifreli JavaScript kodu içeren kötü niyetli bir .htm dosyası içeren bir kimlik avı e-postasıdır. Kurulduktan sonra, paketin içine gömülü JavaScript yükü, kullanıcıyı nihayetinde kimlik bilgilerini yakalamak için tasarlanmış bir sahte açılış sayfasına götüren bir URL yönlendirme zinciri başlatmak için kullanılır.
Cerda, “Bu kimlik avı saldırısı, AES şifrelemesi, CDN aracılığıyla teslim edilen NPM paketleri ve kötü niyetli niyetlerini maskelemek için birden fazla yönlendirme gibi teknolojileri bağlayan tehdit aktörleri ile yüksek düzeyde sofistike olduğunu gösteriyor.” Dedi.
“Saldırı sadece saldırganların tespitten kaçınmaya çalıştıkları yaratıcı yolları göstermekle kalmıyor, aynı zamanda siber güvenlik tehditlerinin sürekli gelişen manzarasında uyanıklığın önemini de vurguluyor.”
Kötü amaçlı yazılım dağıtımı için açık kaynaklı depoların kötüye kullanılması, tedarik zinciri saldırılarının ölçeklendirilmesi için denenmiş ve test edilmiş bir yaklaşım haline gelmiştir. Son haftalarda, Microsoft’un Visual Studio Kodu (VS Kod) Marketplace’de, Windows’taki sağlamlık geliştiricileri hedefleyerek Sifhon kripto para cüzdanı kimlik bilgilerine tasarlanan Microsoft’un Visual Studio Code (VS Code) pazarında da ortaya çıkarıldı.
Etkinlik, Datadog Security Research tarafından Mut-9332 olarak izlediği bir tehdit oyuncusuna atfedildi. Uzantıların adları aşağıdaki gibidir –
- Solaibot
- Arasında ve
- Blankebesxstnion
Datadog araştırmacıları, “Uzantılar kendilerini meşru olarak gizliyor, gerçek özellikler içinde zararlı kod gizliyor ve sağlamlık ile ilgili görünen ve genellikle kötü niyetli olarak işaretlenmeyecek komut ve kontrol alanlarını kullanıyor.” Dedi.
“Her üç uzatma da, internet arşivinde barındırılan bir görüntü dosyasının içinde gizlenmiş bir yük kullanan biri de dahil olmak üzere, gizlenmiş kötü amaçlı yazılımların birden fazla aşamasını içeren karmaşık enfeksiyon zincirleri kullanıyor.”
Özellikle, uzantılar sağlamlık geliştiricileri için sözdizimi tarama ve güvenlik açığı tespiti sunuldu. Orijinal işlevsellik sunarken, uzantılar ayrıca kurban pencerelerden kripto para cüzdanı kimlik bilgilerini çalan kötü amaçlı yükler sunmak üzere tasarlanmıştır. Üç uzantı o zamandan beri kaldırıldı.
VS kodu uzantısının nihai amacı, Ethereum cüzdanlarını yağmalayabilen ve bunları komut ve kontrol (C2) uç noktasına sızdırabilen kötü amaçlı bir krom tabanlı tarayıcı uzantısı atmaktır.
Ayrıca, anlaşmazlık, krom tabanlı tarayıcılar, kripto para cüzdanları ve elektron uygulamaları için tuş vuruşlarını yakalayan ve uygulama veri dizinlerini tarayan ayrı bir yürütülebilir ürün yüklemek için donanımlıdır.
Mut-9332, kodlama veya yapay zeka (AI) araçları olarak geçerek bir XMRIG Cryptominer yüklemek için 10 kötü niyetli ve kod uzantısının kullanımını içeren yakın zamanda açıklanan bir kampanyanın arkasında olduğu değerlendirildi.
Datadog, “Bu kampanya, Mut-9332’nin kötü niyetli niyetlerini gizleme konusunda gitmeye istekli olduğu şaşırtıcı ve yaratıcı uzunlukları gösteriyor.” Dedi. “Bu yük güncellemeleri, bu kampanyanın muhtemelen devam edeceğini ve bu ilk kötü amaçlı ve kod uzantılarının algılanması ve kaldırılması, Mut-9332’yi sonraki olanlarda taktikleri değiştirmeye yönlendirebilir.”