.jpg)
Araştırmacılar, rootkit işlevselliği sunan, tam hizmet veren bir Discord uzaktan erişim Truva Atı’nı (RAT) gizleyen, yazım hatası yapan bir npm paketi keşfettiler. “DiscordRAT 2.0” olarak adlandırılan kötü amaçlı yazılım, yeni başlayanlar için mükemmel olan anahtar teslimi bir bilgisayar korsanlığı aracı olarak işlev görüyor ve açık kaynaklı yazılım tedarik zinciri saldırılarını gerçekleştirmek için giriş engelini azaltıyor.
Bu durumda, “node-hide-console-windows” paketi, bir uygulamanın konsol penceresi görünürlüğünü değiştirmek için 300 veya 300 kez indirilen basit bir modül olan node-hide-console-window meşru bir pakete çok benzeyecek şekilde yapıldı. yani her hafta birkaç kez. Kötü amaçlı npm girişi, orijinalin sayısıyla eşleşmesi için 10 ayrı sürümün yüklenmesi de dahil olmak üzere, orijinalinkiyle neredeyse aynı görünecek şekilde yapıldı.
Hile işe yaradı: “s” eklenmiş kopya, kaldırılmadan önce yaklaşık 700 kez indirildi.
ReversingLabs tehdit istihbaratı savunuculuğu direktörü Ashlee Bengee, “Açık kaynağın pek çok faydası var ve bence faydaları dezavantajlarından çok daha ağır basıyor” diyor. “Ancak bu tür bir yazılımın mevcut olması, bu kötü niyetli davranışın çok kolay bir şekilde gizlenmesine olanak tanıyor.”
Gerçek Bir Rootkit’i Gizleyen Sahte Paket
ReversingLabs araştırmacıları, 25 Ağustos’ta yeni bir hesap tarafından şüpheyle yüklenen ve başka hiçbir npm projesiyle bağlantısı olmayan taklit paketi ilk kez keşfettiklerinde, “index.js” dosyasının içinde gizlenmemiş kötü amaçlı kod keşfettiler. Kötü amaçlı dosya çalıştırıldığında yürütülebilir bir dosya indirdi: DiscordRAT 2.0’ın bir kopyası.
DiscordRAT 2.0 kompakt, C# tabanlı bir uzaktan bilgisayar korsanlığı aracıdır. GitHub sayfasına göre “yalnızca eğitim amaçlı” anlamına geliyor ancak bu düşüncenin samimiyeti şüpheli.
“Bunların birçoğu eğitim amaçlı olma kisvesi altında piyasaya sürülüyor ve sanırım bu işleve sahipler, bu da savunmacılar için iyi bir şey. Ancak aynı zamanda, çok az bilgiye sahip olan herkesin de bu hedefe ulaşması gerçekten çok kolay. ve GitHub gibi bir yerde ücretsiz olarak bulunabilen kötü amaçlı yazılımları indirin. Ayrıca bu kötü amaçlı yazılımın doğrudan eklendiği bir e-posta kampanyası başlatmak çok kolay,” diye belirtiyor Bengee.
En önemlisi, DiscordRAT 2.0 kullanıcılarının kurbanlarını çok az uzmanlık gerektirerek bireysel Discord kanalları aracılığıyla yönetmeleri. Araç, kimlik bilgilerini çalmak, dosyaları değiştirmek, işlemleri sonlandırmak ve hatta bir ana bilgisayarın mavi ekranını görüntülemek için onlara düzinelerce kullanımı kolay komut sağlar.
Ancak hepsinden en dikkate değer olanı “!rootkit.” komutudur.
Bilgisayar Korsanlığı Erişilebilir ve Kolay Hale Getirildi
DiscordRAT 2.0’daki !rootkit işlevi, ikinci bir açık kaynaklı kötü amaçlı yazılım olan r77 rootkit’in yürütülmesini tetikler.
GitHub sayfasına göre kod, TCP ve UDP bağlantıları, dosyalar ve dizinler, işlemler ve CPU kullanımı ve daha fazlası gibi “her şeyi gizleyen bir rootkit”. Yönetici ayrıcalıklarına sahip herhangi bir bilgisayar korsanı, bunu çok fazla teknik bilgi gerektirmeden bir ana bilgisayarda gizlice kalıcılık oluşturmak, kötü amaçlı faaliyetler gerçekleştirmek ve yüksek ayrıcalıklı verilere erişmek için kullanabilir.
Açık kaynaklı, tam hizmetli, anahtar teslimi bir RAT’ın bu tür güçlü özelliklere sahip olması, bilgisayar korsanlarının bile nispeten karmaşık saldırıları gerçekleştirmek için ne kadar az uzmanlığa sahip olması gerektiğini ve ne kadar az çaba harcaması gerektiğini gösteriyor.
Bengee, “Bu, saldırganlara gerçekten kapıları açtı” diyor ve ekliyor: “Özellikle de bu, hızlı para kazanmanın çok kolay bir yolu haline geldi.”