Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş sistemlere uzaktan erişim truva atı (RAT) bırakmak üzere tasarlanmış, npm paket kayıt defterine yüklenen yeni bir şüpheli paketi ortaya çıkardı.
Söz konusu paket, “gulp ve gulp eklentileri için kaydedici” kılığına girerek gulp araç seti kullanıcılarını hedef alan glup-debugger-log’dur. Bugüne kadar 175 kez indirildi.
Paketi keşfeden yazılım tedarik zinciri güvenlik şirketi Phylum, paketin kötü niyetli yükü dağıtmak için birlikte çalışan iki gizlenmiş dosyayla birlikte geldiğini söyledi.
“Biri, belirli gereksinimleri karşılıyorsa hedef makineyi tehlikeye atarak, ardından ek kötü amaçlı yazılım bileşenleri indirerek, kötü amaçlı yazılım kampanyasına zemin hazırlayan bir tür ilk damla görevi gördü ve diğer komut dosyası, saldırgana ele geçirilenleri kontrol etmek için kalıcı bir uzaktan erişim mekanizması sağladı. makine” dedi.
Phylum’un kütüphanenin package.json dosyasını (bir paketle ilişkili tüm meta verileri özetleyen bir bildirim dosyası görevi gören) daha yakından incelemesi, bir JavaScript dosyasını (“index.js”) çalıştırmak için bir test komut dosyasının kullanıldığını ve bu dosyanın da onu çağırdığını buldu. gizlenmiş bir JavaScript dosyası (“play.js”).
İkinci JavaScript dosyası, sonraki aşamadaki kötü amaçlı yazılımları getirmek için bir damlalık işlevi görür, ancak daha önce ağ arayüzleri, belirli Windows işletim sistemi türleri (Windows NT) ve alışılmadık bir şekilde, dosya sayısı için bir dizi kontrol çalıştırmadan önce değil. Masaüstü klasörü.
Phylum, “Makinenin ana dizinindeki Masaüstü klasörünün yedi veya daha fazla öğe içerdiğinden emin olmak için kontrol ediyorlar” diye açıkladı.
“İlk bakışta bu son derece keyfi görünebilir, ancak bunun bir tür kullanıcı etkinliği göstergesi olması veya VM’ler veya yepyeni kurulumlar gibi kontrollü veya yönetilen ortamlarda dağıtımı önlemenin bir yolu olması muhtemeldir. Saldırganın aktif geliştirici makinelerini hedef aldığı anlaşılıyor. “
Tüm kontrollerin gerçekleştiğini varsayarsak, kalıcılığı ayarlamak için package.json dosyasında (“play-safe.js”) yapılandırılmış başka bir JavaScript başlatır. Yükleyici ayrıca bir URL’den veya yerel bir dosyadan isteğe bağlı komutları yürütme yeteneğini de içerir.
“play-safe.js” dosyası ise bir HTTP sunucusu kurar ve 3004 numaralı bağlantı noktasında gelen komutları dinler ve bunlar daha sonra yürütülür. Sunucu, komut çıktısını istemciye düz metin yanıtı biçiminde geri gönderir.
Phylum, minimal işlevselliği, kendi kendine yeten doğası ve analize direnmek için gizlemeye dayanması nedeniyle RAT’ı hem kaba hem de karmaşık olarak tanımladı.
“Saldırganların güçlü yeteneklere sahipken tespitten kaçabileceğini umdukları kompakt, verimli ve gizli kötü amaçlı yazılımlar oluşturmak amacıyla yeni ve akıllı teknikler kullandığı açık kaynak ekosistemlerinde sürekli gelişen kötü amaçlı yazılım geliştirme ortamını vurgulamaya devam ediyor. ” dedi şirket.