Uygulama Güvenliği , Yeni Nesil Teknolojiler ve Güvenli Geliştirme , Tehdit İstihbaratı
Kimlik Bilgileri Toplama Yeteneğine Sahip TurkoRat, Wallet Grabber Gibi Özellikler İçeriyor
Prajeet Nair (@prajeetspeaks) •
20 Mayıs 2023
Araştırmacılar, tespit edilip kaldırılmadan önce iki ay boyunca bir açık kaynak bilgi hırsızını gizleyen meşru görünümlü iki kötü niyetli npm paketi belirlediler.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
ReversingLabs araştırmacıları, açık kaynak bilgi hırsızı TurkoRat’ı iki paketin içinde saklarken buldular. nodejs-encrypt-agent
Ve nodejs-cookie-proxy-agent
son iki ayda toplu olarak yaklaşık 1.200 kez indirilen.
Bir npm kaydı, JavaScript kod paylaşımını desteklemek için açık kaynak geliştiriciler tarafından kullanılan yazılım ve meta verilerden oluşan bir JavaScript paketleri veritabanıdır.
TurkoRat, kimlik bilgilerini ve web sitesi tanımlama bilgilerini toplama yeteneğine sahiptir ve kripto para birimini ve verilerini çalmak için kullanılan bir cüzdan hırsızı gibi özellikler içerir.
ReversingLabs araştırmacıları, halka açık depolardaki mevcut paketleri araştırırken, bir dizi kötü niyetli davranış kombinasyonu belirledi.
Kodlarında sabit kodlanmış IP adresleri içeren ve komutları yürüten ve dosyalara veri yazan açık kaynaklı paketler gördüler. Araştırmacılar, genellikle bu tür etkinliklerin kötü niyetli olduğunu söylüyor.
“Doğru: Bu yeteneklerin hiçbiri tek başına kötü amaçlı değil. Ancak birlikte görüldüklerinde genellikle kötü amaçlı işlevleri destekliyorlar. İlk olarak npm paketine neden olan bu tür şüpheli özelliklerin ve davranışların varlığı nodejs-encrypt-agent
dikkatimize gelsin” dediler.
adlı kötü amaçlı paket nodejs-encrypt-agent
başka bir meşru npm modülü kılığına girerken bulundu agent-base
30 milyondan fazla indirmeye sahip olan. Tehdit aktörleri ayrıca GitHub sayfasına bir bağlantı ekledi. agent-base
daha otantik görünmesini sağlamak için.
Eski bir sürümünü taklit eden tehdit aktörleri bulundu agent-base
Bu, kötü amaçlı paketin keşfedilmesinden iki ay önce yayınlandı.
Bu eski sürüm 6.0.2 agent-base
Kötü niyetli aktörlerin taklit ettiği model 20 milyonun üzerinde indirilmişti.
Araştırmacılar, “Yüksek sürüm sayıları, yazım hatası ve diğer tedarik zinciri saldırıları yoluyla açık kaynak havuzlarına sızmayı uman kötü amaçlı yazılım yazarları arasında popülerdir; burada acele eden geliştiriciler genellikle sürüm numarasıyla belirlenen bir paketin en son sürümünü kapmak için hızlıdır.” .
analiz ederken nodejs-encrypt-agent
araştırmacılar, kodun ve işlevselliğin agent-base
paket.
“Ancak, küçük ama çok önemli bir fark vardı: nodejs-encrypt-agent
Paket, ReversingLabs tarafından analiz edildiğinde kötü amaçlı olduğu tespit edilen taşınabilir bir yürütülebilir dosya içeriyordu” dediler.
Bu PE dosyası, paket çalıştırıldığında yürütülür ve paketin ilk birkaç satırında gizli olan kötü amaçlı komutlardan yararlanır. index.js
dosya.
Belirlenen önemli kötü amaçlı davranışlardan bazıları, diğerlerinin yanı sıra Windows sistem dizinlerine yazma ve bu dizinlerden silme, komutları yürütme ve DNS ayarlarını kurcalama becerisini içerir.
Araştırmacılar, “Gözlemlenen kötü niyetli veya şüpheli davranışların listesi uzundu; kullanıcı oturum açma kimlik bilgileri ve kripto cüzdanları dahil olmak üzere virüslü sistemlerden hassas bilgileri çalmak için tasarlanmış özelliklerin yanı sıra kötü amaçlı dosyaları analiz etmek için kullanılan korumalı alan ortamlarını ve hata ayıklayıcıları kandırmak veya yenmek için tasarlandı.” söz konusu.
TurkoRat’ı Keşfetmek
Tüm JavaScript dosyaları ayıklandığında ve araştırmacılar programın önceki sürümlerine baktıklarında nodejs-encrypt-agent
paketi, TurkoRat’ı ortaya çıkardılar. Araştırmacılar, PE’den çıkarılan JavaScript dosyalarını TurkoRat GitHub deposunda bulunan dosyalarla ilişkilendirerek bulgularını doğruladılar.
TurkoRat, bitmiş PE’nin yapılandırmasını ve yeteneklerini değiştirmek için yapı içinde özelleştirilebilir. İçinde gizlendiği için meşru bir yazılım paketinde saklanması da dahil olmak üzere çeşitli şekillerde dağıtılabilir. nodejs-encrypt-agent
.
bu nodejs-encrypt-agent
TurkoRat’ı taşıyan tek paket bu değildi, ancak araştırmacılar npm paketini ortaya çıkardı nodejs-cookie-proxy-agent
“onu bir bağımlılık olarak gizleyen, axios-proxy
içinde bulunan her dosyaya aktarıldı nodejs-cookie-proxy-agent
1.1.0, 1.2.0, 1.2.1 ve 1.2.2 sürümleri.”
Araştırmacılar kodu nodejs-encrypt-agent
ve node-cookie-proxy-agent
kadar popüler olmayan agent-base
ancak geçen yıl boyunca sürekli olarak indirildi.
“Meşru ve habis paketlerin yalnızca iki harf farkıyla, bu açık bir yazım hatası örneğidir ve bir geliştiricinin yanlışlıkla kötü amaçlı paketi indirip kullanması çok olasıdır.” nodejs-cookie-proxy-agent
meşru yerine node-cookie-proxy-agent
,” dedi araştırmacılar.