Kötü amaçlı npm paketlerini yükleyen geliştirici sistemlerinden elde edilen çalıntı Base64 şifreli SSH anahtarlarını depolamak için GitHub’dan yararlanan npm açık kaynak paket yöneticisinde iki kötü amaçlı npm paketi keşfedildi.
Son haftalarda, warbeast2000 ve kodiak2k adlı iki şüpheli npm paketinin birden fazla sürümde olduğu keşfedildi. Yazım itibarıyla her iki paket de Ocak ayında npm’den kaldırıldı.
ReversingLabs, 2020 ile 2023 sonu arasında açık kaynak paket yöneticilerinde keşfedilen toplam kötü amaçlı paket sayısının %1.300 arttığını belirtti.
Bu eğilimin yükselen bir parçası da GitHub sürüm kontrol platformunda kötü amaçlı komuta ve kontrol altyapısının barındırılmasıdır.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Kötü Amaçlı Paketler Geliştirici SSH Anahtarlarını Hedefliyor
Araştırmacılara göre warbeast2000 paketi yalnızca birkaç bileşenden oluşuyordu ve özellikle karmaşık değildi. Warbeast2000’in ilgili npm sayfası basitti ve başka hiçbir paketi açıkça taklit etmiyordu.
“Sekiz sürüm (1.0.0 – 1.0.8) vardı ve her yeni sürümle birlikte pakete yeni öğeler ekleniyor. Paket yazarı, kötü amaçlı yazılımı oluşturma ve yanıltıcı katmanlar ekleme sürecindeydi. Neyse ki paket bu gerçekleşmeden önce tespit edildi ve npm’den kaldırıldı”, ReversingLabs Cyber Security News ile Paylaştı.
Kurbanın makinesine paketin son sürümü yüklendikten sonra, bir JavaScript dosyasını alıp çalıştıran bir kurulum sonrası komut dosyası etkinleştiriliyor.
Kötü amaçlı komut dosyası, ikinci aşamada, id_rsa dosyasında saklanan özel SSH anahtarını okuyor.
Base64 kodlu anahtar daha sonra saldırganın kontrolü altındaki GitHub deposuna yüklendi. Paket, id_rsa SSH anahtarını alıp kopyalamaktan başka herhangi bir eylem sergilemedi.
Paket yüklendikten sonra kodiak2k bir kurulum sonrası komut dosyasını çalıştırır. Bu komut dosyası, indirdiği başka bir JavaScript dosyasını başlatır. Warbeast2000’in aksine, ilk birkaçı dışında kodiak2k’nin 30’dan fazla sürümü vardı ve bunların hepsi zararlıydı.
Warbeast2000’e benzer şekilde, bu komut dosyası, içindeki her şeyi okurken miyav adı verilen bir anahtarı arar.
Miyav’ın geliştirme boyunca paket için yalnızca yer tutucu bir ad olup olmadığı veya geliştiricinin aklında belirli bir anahtar olup olmadığı belli değil.
Araştırmacılar, “Miyav dosyası bulunduğunda ve bulunduğunda, içindeki anahtar Base64’te kodlanacak ve warbeast2000 paketinde olduğu gibi GitHub deposuna yüklenecek” dedi.
Kodiak2k’nin daha sonraki yinelemelerinin GitHub deposunda arşivlenen ve Empire’ın sömürü sonrası çerçevesini içeren bir komut dosyası çalıştırdığı keşfedildi. Komut dosyası, Mimikatz bilgisayar korsanlığı aracını başlatarak kimlik bilgilerini işlem belleğinden çıkarabilir.
Eylül 2023’te Sonatype araştırmacıları, npm kayıt kampanyasını takip ederek Kubernetes yapılandırmalarını ve SSH anahtarlarını npm paketleri aracılığıyla çıkardı. Otomatik sistemleri yaklaşık 14 kötü amaçlı paket buldu.
Bu nedenle, geliştiriciler ve geliştirme kuruluşları, kullanımlarının güvenli olduğundan emin olmak için, npm veya PyPI gibi paket yöneticilerinde bulunan yazılım veya kitaplıkların güvenliğini, bunları birleştirmeden önce değerlendirmelidir.