Bilgisayar korsanları Toptal’ın GitHub Organizasyon hesabından ödün verdiler ve Düğüm Paket Yöneticisi (NPM) dizininde on kötü niyetli paket yayınlamak için erişimini kullandı.
Paketler, GitHub kimlik doğrulama jetonlarını toplayan ve daha sonra kurbanların sistemlerini silen veri çalma kodu içeriyordu.
Toptal, şirketleri yazılım geliştiricileri, tasarımcılar ve finans uzmanlarıyla birleştiren serbest bir yetenek pazarıdır. Şirket ayrıca GitHub ve NPM aracılığıyla sundukları Picasso olmak üzere dahili geliştirici araçları ve tasarım sistemlerini de sürdürüyor.
Saldırganlar, 20 Temmuz’da Toptal’ın GitHub organizasyonunu kaçırdı ve hemen hemen 73 deposunun hepsini halka açık hale getirdi, özel projeleri ve kaynak kodunu ortaya çıkardı.
Takip eden günlerde, saldırganlar GitHub’daki Picasso’nun kaynak kodunu kötü amaçlı yazılımları içerecek şekilde değiştirdi ve NPM’de Toptal olarak 10 kötü amaçlı paket yayınladı ve bu da onları meşru güncellemeler olarak gösterdi.
Kötü niyetli paketler ve değiştirilmiş sürümler şunlardır:
- @toptal/picasso-tailwind (v3.1.0)
- @toptal/picasso-charts (v59.1.4)
- @toptal/picasso-sheared (v15.1.0)
- @Toptal/picasso sağlayıcısı (v5.1.1)
- @Toptal/Picasso-Secect (v4.2.2)
- @Toptal/Picasso-Quote (v2.1.7)
- @toptal/picasso formları (v73.3.2)
- @xene/core (v0.4.1)
- @toptal/picasso-utils (v3.2.0)
- @Toptal/Picasso-Typography (v4.1.4)
Kötü niyetli paketler tespit edilmeden önce yaklaşık 5.000 kez indirildi ve muhtemelen geliştiricileri kötü amaçlı yazılımlarla bulaştı.
Bilgisayar korsanları kötü amaçlı kodu iki işlev eklemek için ‘Package.json’ dosyalarına enjekte ettiler: veri çal (‘ön tester’ komut dosyası) ve ana bilgisayarları (‘post -install’ komut dosyası) silme.
Birincisi, kurbanın CLI kimlik doğrulama jetonunu çıkarır ve onu saldırgan kontrollü bir Webhook URL’sine gönderir ve onlara hedefin github hesabına yetkisiz erişim sağlar.
Verileri tükettikten sonra, ikinci komut dosyası tüm dosya sistemini Linux sistemlerinde ‘sudo rm -rf —no-preserve-root /’ ile veya Windows’taki dosyaları tekrarlı ve sessizce silmeye çalışır.
Kod güvenlik platformu soketine göre, Toptal 23 Temmuz’da kötü amaçlı paketlerden kullanımdan kaldırıldı ve güvenli sürümlere geri döndü, ancak risklere kötü niyetli sürümleri indiren kullanıcıları uyarmak için hiçbir kamu beyanı vermedi.
İlk uzlaşma yöntemi bilinmemekle birlikte, soket, içeriden gelen tehditlerden toptal geliştiricileri hedefleyen kimlik avı saldırılarına kadar çeşitli olasılıkları listeler.
BleepingComputer bir ifade için Toptal ile temasa geçti, ancak hala yanıtlarını bekliyoruz.
Kötü niyetli paketlerden herhangi birini yüklediyseniz, önceki istikrarlı bir sürüme mümkün olan en kısa sürede geri dönmeniz tavsiye edilir.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.