Çerez çalma kötü amaçlı yazılım almak için QR kodu kullanılarak yakalanan NPM paketi

Yeni keşfedilen NPM paketi ‘Fezbox’, tehdit aktörünün sunucusundan çerez çalma kötü amaçlı yazılımları almak için QR kodları kullanır.

Bir yardımcı kütüphane olarak maskelenen paket, bu yenilikçi steganografik tekniği, kullanıcı kimlik bilgileri gibi hassas verileri tehlikeye atılmış bir makineden toplamak için kullanıyor.

QR kodları başka bir kullanım durumu bulur

QR kodları gibi 2D barkodlar geleneksel olarak insanlar için tasarlanmış olsa da, pazarlama içeriği tutmak veya bağlantıları paylaşmak için saldırganlar onlar için yeni bir amaç bulmuşlardır: QR kodunun kendisi içindeki kötü amaçlı kodları gizlemek.

Bu hafta, Soket Tehdit Araştırma Ekibi, kötü niyetli bir paket belirledi, ‘Fezbox’– JavaScript ve Node.js için dünyanın en büyük açık kaynak kaydı NPMJS.com’da yayınlandı geliştiriciler.

Yasadışı paket, bir QR kodu içeren bir JPG görüntüsünü almak için gizli talimatlar içerir, bu da saldırının bir parçası olarak ikinci aşamalı gizlenmiş bir yükü çalıştırmak için daha fazla işlem yapabilir.

Yazma sırasında, paket, kayıt defteri yöneticileri düşürmeden önce NPMJS.com’a göre en az 327 indirme aldı.

Kaçınma Tespiti için Tersine Depolanmış Kötü amaçlı URL

BleepingComputer, kötü niyetli yükün öncelikle bulunduğunu doğruladı. dist/fezbox.cjs Paketin dosyası (örnek olarak 1.3.0 sürümünü alıyor).

Soket tehdidi analisti Olivia Brown, “Kodun kendisi dosyada madenlendi. Biçimlendirildikten sonra okunması daha kolay hale geliyor.”

Koddaki koşullar, uygulamanın Brown tarafından açıklandığı gibi bir geliştirme ortamında çalışıp çalışmadığını kontrol eder.

“Bu genellikle gizli bir taktiktir. Tehdit oyuncusu, sanal bir ortama veya üretim dışı herhangi bir ortamda yakalanma riskiyle karşı karşıya kalmak istemez, bu nedenle genellikle istismarlarının ne zaman ve nasıl çalıştığı etrafında korkuluklar ekleyebilirler.”

“Aksi takdirde, 120 saniye sonra, tersine çevrilmiş dizede bir QR kodundan kodu ayrıştırır ve yürütür …”

Yukarıdaki ekran görüntüsünde gösterilen dize, ters çevrildiğinde aşağıdakilere dönüşür:

hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg

URL’yi ters olarak depolamak, Kod’da URL’leri (‘HTTP (S): //’ ile başlayarak) arayan statik analiz araçlarını atlamak için kullanılan gizli bir tekniktir.

URL tarafından sunulan QR kodu aşağıda gösterilmiştir:

Tipik olarak pazarlama veya iş ortamlarında gördüğümüz QR kodlarından farklı olarak, bu alışılmadık derecede yoğun, normalden çok daha fazla veri paketliyor. Aslında, BleepingComputer’ın testleri sırasında, standart bir telefon kamerası ile güvenilir bir şekilde okunamadı. Tehdit aktörleri, bu barkodun paket tarafından ayrıştırılabilecek gizlenmiş kodu göndermek için özel olarak tasarladılar.

Araştırmacıya, şaşkın yük yükü açıklıyor, belge.cookie.

“O zaman kullanıcı adını ve şifreyi alır, ancak yine diziyi tersine çevirmenin (Drowssap şifre haline gelir) şaşkınlık taktiği görmemize rağmen.”

“Çalınan çerezde hem kullanıcı adı hem de şifre varsa, bilgileri bir HTTPS sonrası isteği aracılığıyla gönderir. https: // yuva-uygulama yapımı[.]yukarı[.]demiryolu[.]Uygulama/Kullanıcılar. Aksi takdirde, hiçbir şey yapmaz ve sessizce çıkar. “

Sosyal mühendislik dolandırıcılıklarında konuşlandırılan sayısız QR kodu vakası gördük – sahte anketlerden sahte “park biletlerine” kadar. Ancak bunlar insan müdahalesini, yani kodu taramak ve örneğin bir kimlik avı web sitesine yönlendirilmesini gerektirir.

Bu haftanın Soket Keşfi, QR kodlarında başka bir bükülme gösteriyor: Meyveden çıkarılmış bir makine, bunları bir vekil veya ağ güvenlik aracıyla komut ve kontrol (C2) sunucusuyla sıradan görüntü trafiğinden başka bir şey gibi görünemeyecek şekilde konuşmak için kullanabilir.

Geleneksel steganografi genellikle görüntüler, medya dosyaları veya meta veriler içindeki kötü niyetli kodları gizlerken, bu yaklaşım bir adım daha ileri gider ve tehdit aktörlerinin mevcut herhangi bir ortamdan yararlanacağını gösterir.