.webp "Bilgisayar Korsanları npm, PyPI ve Ruby Exploit Paketlerini Silahlandırarak Güvenlik Testlerini Silahlandırıyor")
Tehdit aktörleri, çok aşamalı saldırılar gerçekleştirmek, komuta ve kontrol (C2) kanalları oluşturmak ve hassas verileri sızdırmak için npm, PyPI ve RubyGems ekosistemlerinde Bant Dışı Uygulama Güvenliği Testi (OAST) tekniklerinden yararlanır.
Başlangıçta PortSwigger’ın Burp Collaborator’ı tarafından geliştirilen ve daha sonra Project Discovery’nin interact.sh gibi hizmetler tarafından benimsenen OAST araçları, etik araştırmacıların geleneksel test parametrelerinin dışında HTTP istekleri, DNS aramaları ve diğer ağ etkileşimlerini yapmalarına olanak tanır.
Ne yazık ki tehdit aktörleri de bu güçlü becerilere sahip çıkıyor ve bunları kurbanların sistemlerindeki kritik alanları keşfetmek veya gizlice veri sızdırmak için kullanıyor.
NPM, PyPI ve Ruby Exploit Paketlerinin Silahlandırılması
Npm paketi adobe-dcapi-web, geliştiricileri ve otomatik komut dosyalarını bunun “en son” güncelleme olduğuna inandırmak için yanıltıcı derecede yüksek sürüm numaraları (örneğin, 99.99.95—99.99.99) kullanarak Adobe API’leriyle ilişkiliymiş gibi davranır.
Soket araştırmacıları, paketin sanallaştırma ortamlarını tanımlayan, sistemin konumunu inceleyen ve bir Rus yerel ayarı tespit etmesi durumunda yürütmeyi durduran gizlenmiş JavaScript kodu içerdiğini bildiriyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Kötü amaçlı kod, bu kontroller başarılı olduğunda hassas verileri oastify.com’a sızdırır.
Ayrıca tehdit aktörü, PyPI monoliht paketindeki bir harfi ters çevirerek gerçek kütüphane monolitine çok benzeyen bir monoliht inşa etti.
Kötü amaçlı komut dosyasının etki alanları, kurbanın ana bilgisayar adı, kullanıcı adı ve mevcut çalışma dizini dahil olmak üzere meta verilerini gizlice toplamak için kullanılır.
RubyGems paketi chauuuyhhn, nosvemosssadfsd ve holaaaaaafasdf’yi içerir.
Bu mücevherler, ana bilgisayar adları, harici IP adresleri, kullanıcı ortamı değişkenleri, geçerli çalışma dizinleri ve klasör adları dahil olmak üzere özel verileri, DNS sorguları aracılığıyla saldırgan tarafından kontrol edilen bir oastify.com uç noktasına sızdırmayı amaçlayan gömülü komut dosyalarına sahiptir.
Bu teknik, tehdit aktörünün daha düşük bir keşif şansıyla ilk keşif gerçekleştirmesine olanak tanır, çünkü DNS trafiği genellikle basit izinsiz giriş tespit sistemlerine zararsız görünür.
Araştırmacılar, tehdit aktörlerinin gelecekte de yasa dışı amaçlarla aynı bant dışı test yöntemlerini kullanmaya devam edeceğini öngörüyor.
Bu nedenle, yazılım tedarik zincirinizin bütünlüğüne ilişkin size gerçek zamanlı bilgiler verebilecek ve herhangi bir şüpheli veya kötü amaçlı bileşen, bir dayanak oluşturma şansı bulamadan sizi uyarabilecek çözümleri uygulayın.
Uzlaşma Göstergeleri (IOC’ler)
Malicious npm Package: adobe-dcapi-web
Malicious PyPI Package: monolith
Malicious RubyGems Packages: chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf
Kötü Amaçlı OAST Uç Noktaları:
- gbv6crrcecvsm77b41bxoih8wz2rqie7.oastify[.]iletişim
- sbfwstspuutiarcjzptfenn9u0dsxhjlu.oast[.]eğlence
- dnipqouebm-psl.cn.oast-cn.byted-dast[.]iletişim
- oqvignkp58-psl.i18n.oast-row.byted-dast[.]iletişim
- kc0262r8oypagq3e8f89uaqmodu4i16q.oastify[.]iletişim
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!