Siber güvenlik araştırmacıları, NPM Kayıt Defteri’nde, uzlaşmış sistemlerden ortam değişkenleri gibi hassas bilgileri sifonla kaçırılan birkaç kripto para birimi paketi keşfettiler.
Sonatype araştırmacısı Ax Sharma, “Bu paketlerden bazıları 9 yılı aşkın bir süredir NPMJS.com’da yaşıyor ve blockchain geliştiricilerine meşru işlevsellik sağlıyor.” Dedi. “Fakat, […] Bu paketlerin her birinin en son sürümleri şaşkın komut dosyalarıyla yüklendi. “
Etkilenen paketler ve kaçırılan sürümleri aşağıda listelenmiştir –
- Ülke para haritası (2.1.8)
- BNB-Javascript-SDK-Nobroadcast (2.16.16)
- @Bithighlander/Bitcoin-Cash-js-lib (5.2.2)
- ESLINT-CONFIG-TRAVIX (6.3.1)
- @CrossWise-Finance1/SDK-V2 (0.1.21)
- @keepKey/Cihaz-Protocol (7.13.3)
- @Veniceswap/Uikit (0.65.34)
- @Veniceswap/Eslint-Config-Pancake (1.6.2)
- Babel-Preset-Travix (1.2.1)
- @Travix/ui-themes (1.1.5)
- @CoinMasters/Türleri (4.8.16)
Bu paketlerin yazılım tedarik zinciri güvenlik firması tarafından analizi, iki farklı komut dosyasında yoğun bir şekilde gizlenmiş kodla zehirlendiklerini ortaya koymuştur: “Paket/Scripts/Launch.js” ve “Paket/Scripts/Diagnostic-port.js.”
Paketler yüklendikten hemen sonra çalışan JavaScript kodu, API anahtarları, erişim belirteçleri, SSH tuşları gibi hassas verileri toplamak ve bunları uzak bir sunucuya (“eoi2ectd5a5tn1h.m.pipedream’e eklemek için tasarlanmıştır.[.]açık”).
İlginç bir şekilde, kütüphanelerle ilişkili GitHub depolarının hiçbiri, kampanyanın arkasındaki tehdit aktörlerinin kötü amaçlı kodları nasıl zorlamayı başardıklarına dair soruları gündeme getirerek aynı değişiklikleri içerecek şekilde değiştirilmemiştir. Şu anda kampanyanın nihai hedefinin ne olduğu bilinmemektedir.
Sharma, “Kaçırmanın nedenini, kimlik bilgisi doldurma (tehdit aktörlerinin diğer web sitelerindeki hesaplardan ödün vermek için daha önceki ihlallerde sızdırıldığı) veya süresi dolmuş bir alanın devralma yoluyla uzlaşan eski NPM koruyucu hesapları olma nedenini varsayıyoruz.” Dedi.
Diyerek şöyle devam etti: “Farklı bakıcıların birden fazla projesine yönelik saldırıların eşzamanlı zamanlaması göz önüne alındığında, ilk senaryo (bakıcı hesaplarının devralınması), iyi atılmış kimlik avı saldırılarının aksine daha olası görünmektedir.”
Bulgular, devralma saldırılarını önlemek için iki faktörlü kimlik doğrulama (2FA) ile hesapların güvence altına alma ihtiyacının altını çizmektedir. Ayrıca, açık kaynaklı projeler ömrünün sonuna ulaştığında veya artık aktif olarak sürdürülmediğinde bu tür güvenlik önlemlerinin uygulanmasıyla ilgili zorlukları vurgulamaktadırlar.
Sharma, “Dava, iyileştirilmiş tedarik zinciri güvenlik önlemlerine ve üçüncü taraf yazılım kayıt geliştiricilerinin izlenmesinde daha fazla uyanıklığa duyulan bir ihtiyacı vurgulamaktadır.” Dedi. “Kuruluşlar, üçüncü taraf bağımlılıklarla ilişkili riskleri azaltmak için geliştirme sürecinin her aşamasında güvenliğe öncelik vermelidir.”