Siber güvenlik araştırmacıları, npm ve Python Paket Dizini (PyPI) deposunda veri çalma ve hatta virüslü sistemlerden hassas verileri silme yetenekleriyle birlikte gelen üç grup kötü amaçlı paket tespit etti.
Tanımlanan paketlerin listesi aşağıdadır –
- @async-mutex/mutex, async-mute (npm) yazım hatası
- Merkezi olmayan borsalardan (DEX’ler) likidite havuzu verilerine erişmek ve DEX Screener platformuyla (npm) etkileşim kurmak için bir kütüphane görünümüne sahip dexscreener
- solana-işlem-araç seti (npm)
- solana-kararlı-web-huks (npm)
- cschokidar-sonraki, chokidar’ın yazım hatası (npm)
- achokidar-sonraki, chokidar’ın yazım hatası (npm)
- achalk-sonraki, bir yazım hatası tebeşir (npm)
- csbchalk-sonraki, bir yazım hatası tebeşiri (npm)
- cschalk, bir yazım hatası tebeşiri (npm)
- pycord-self, discord.py-self’in (PyPI) yazım hatası
Paketleri keşfeden tedarik zinciri güvenlik şirketi Socket, ilk dört paketin Solana özel anahtarlarına müdahale etmek ve bunları Gmail’in Basit Posta Aktarım Protokolü (SMTP) sunucuları üzerinden iletmek ve muhtemelen kurbanların cüzdanlarını boşaltmak amacıyla tasarlandığını söyledi.
Özellikle solana-transaction-toolkit ve solana-stable-web-huks paketleri, Solana’ya özgü işlevsellik sunduğunu iddia ederken, içeriğinin %98’e kadarını otomatik olarak saldırgan tarafından kontrol edilen bir Solana adresine aktararak cüzdanı programlı bir şekilde tüketiyor.
Güvenlik araştırmacısı Kirill Boychenko, “Gmail güvenilir bir e-posta hizmeti olduğundan, bu sızma girişimlerinin smtp.gmail.com’u yasal trafik olarak değerlendiren güvenlik duvarları veya uç nokta tespit sistemleri tarafından işaretlenme olasılığı daha düşüktür” dedi.
Socket ayrıca solana-transaction-toolkit ve solana-stable-web-huks’un arkasındaki tehdit aktörleri tarafından yayınlanan ve ortak DeFi iş akışlarını otomatikleştirmek için Solana geliştirme araçlarını veya komut dosyalarını içerdiğini iddia eden ancak gerçekte bu dosyaları içe aktaran iki GitHub deposuna da rastladığını söyledi. tehdit aktörünün kötü niyetli npm paketleri.
Bu depolarla ilişkili “moonshot-wif-hwan” ve “Diveinprogramming” GitHub hesaplarına artık erişilemiyor.
“Tehdit aktörünün GitHub deposundaki bir komut dosyası (moonshot-wif-hwan/pumpfun-bump-script-bot), Solana tabanlı popüler bir DEX olan Raydium’da işlem yapmak için bir bot olarak tanıtılıyor, ancak bunun yerine solana’dan kötü amaçlı kod aktarıyor. Boychenko, “stabil-web-huks paketi” dedi.
Kötü amaçlı GitHub depolarının kullanılması, saldırganların, Microsoft’a ait kod barındırma platformunda Solana ile ilgili araçları arayan geliştiricileri hedef alarak npm’nin ötesinde daha geniş bir kampanya düzenleme girişimlerini göstermektedir.
İkinci npm paketi kümesinin, bazı durumlarda ortam değişkenlerini uzak bir sunucuya sızdırmanın yanı sıra, projeye özgü dizinlerdeki tüm dosyaları yinelemeli olarak silen bir “kill switch” işlevi ekleyerek kötü amaçlı işlevselliklerini bir sonraki seviyeye taşıdığı bulunmuştur. .
Sahte csbchalk-next paketi, chokidar’ın yazım hatası yapılmış versiyonlarıyla aynı şekilde çalışır; tek farkı, veri silme işlemini yalnızca sunucudan “202” kodunu aldıktan sonra başlatmasıdır.
Öte yandan Pycord-self, Discord API’lerini projelerine entegre etmek, Discord kimlik doğrulama belirteçlerini yakalamak ve hem Windows hem de Linux sistemlerinde kurulum sonrası kalıcı arka kapı erişimi için saldırgan tarafından kontrol edilen bir sunucuya bağlanmak isteyen Python geliştiricilerini öne çıkarıyor.
Bu gelişme, kötü aktörlerin, Skuld ve Blank-Grabber gibi açık kaynaklı hırsız kötü amaçlı yazılımları kullanarak veri hırsızlığını kolaylaştırmak için tasarlanmış sahte kitaplıklarla Roblox kullanıcılarını hedef almasıyla ortaya çıkıyor. Geçen yıl Imperva, oyun hileleri ve modları arayan Roblox oyuncularının aynı yükleri indirmeleri için onları kandıran sahte PyPI paketleri tarafından da hedef alındığını açıklamıştı.