Siber güvenlik araştırmacıları, npm paket kayıt defterinde, Ethereum akıllı sözleşmelerindeki güvenlik açıklarını tespit etmek için bir kütüphane gibi görünen, ancak gerçekte geliştirici sistemlerine Quasar RAT adı verilen açık kaynaklı bir uzaktan erişim truva atı bırakan kötü amaçlı bir paket keşfetti.
Ethereumvulncontracthandler adlı, oldukça karmaşık bir yapıya sahip paket, “solidit-dev-416” adlı bir kullanıcı tarafından 18 Aralık 2024’te npm’de yayınlandı. Yazım itibarıyla indirilmeye devam etmektedir. Bugüne kadar 66 kez indirildi.
Soket güvenlik araştırmacısı Kirill Boychenko geçen ay yayınlanan bir analizde, “Kurulumun ardından uzak bir sunucudan kötü amaçlı bir komut dosyası alıyor ve RAT’ı Windows sistemlerine dağıtmak için bunu sessizce yürütüyor.” dedi.
ethereumvulncontracthandler’a gömülü kötü amaçlı kod, analiz ve tespit çabalarına direnmek için Base64 ve XOR kodlaması gibi tekniklerin yanı sıra küçültme tekniklerinden yararlanılarak çok sayıda gizleme katmanıyla gizlenir.
Kötü amaçlı yazılım aynı zamanda uzak bir sunucudan ikinci aşama bir veri alıp çalıştırarak yükleyici görevi görmeden önce korumalı alan ortamlarında çalışmayı önlemek için kontroller de gerçekleştirir (“jujuju”[.]lat”). Betik, Quasar RAT’ın yürütülmesini başlatmak için PowerShell komutlarını çalıştıracak şekilde tasarlanmıştır.
Uzaktan erişim truva atı, Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağlar ve bir komut ve kontrol (C2) sunucusuyla (“captchacdn) bağlantı kurar[.]com:7000”) bilgi toplamasına ve sızdırmasına olanak tanıyan daha fazla talimat almak için.
İlk olarak Temmuz 2014’te GitHub’da halka açık olarak yayınlanan Quasar RAT, yıllar boyunca çeşitli tehdit aktörleri tarafından hem siber suç hem de siber casusluk kampanyaları için kullanıldı.
Boychenko, “Tehdit aktörü aynı zamanda bu C2 sunucusunu, virüs bulaşmış makineleri kataloglamak ve bu saldırının bir botnet enfeksiyonunun parçası olması halinde güvenliği ihlal edilmiş birden fazla ana bilgisayarı aynı anda yönetmek için kullanıyor.” dedi.
“Bu aşamada, kurbanın makinesi tamamen tehlikeye girmiştir ve tehdit aktörü tarafından tam gözetim ve kontrol altındadır, düzenli kontrollere ve güncellenmiş talimatları almaya hazırdır.”
GitHub’da Sahte Yıldızların Balonlaşma Sorunu
Açıklama, Socket tarafından Carnegie Mellon Üniversitesi ve Kuzey Carolina Eyalet Üniversitesi’nden akademisyenlerin yanı sıra gerçekleştirilen yeni bir çalışmanın, kötü amaçlı yazılım içeren GitHub depolarının popülaritesini yapay olarak şişirmek için kullanılan orijinal olmayan “yıldızlarda” hızlı bir artışı ortaya çıkarmasıyla geldi.
Bu fenomen bir süredir ortalıkta dolaşıyor olsa da araştırma, sahte yıldızların çoğunluğunun korsan yazılım, oyun hileleri ve kripto para birimi botları gibi görünen kısa ömürlü kötü amaçlı yazılım depolarını teşvik etmek için kullanıldığını keşfetti.
Baddhi Shop, BuyGitHub, FollowDeh, R for Rank ve Twidium gibi GitHub yıldız tüccarları aracılığıyla reklamı yapılan “açık” karaborsanın, 1,32 milyon hesaptan ve 22.915 depoya yayılan 4,5 milyon “sahte” yıldızın arkasında olduğundan şüpheleniliyor. sorunun ölçeği.
The Hacker News’in tespitine göre Baddhi Shop, potansiyel müşterilerin 110 $ karşılığında 1.000 GitHub yıldızı satın almasına olanak tanıyor. Sitedeki bir açıklamada “Deponuzun güvenilirliğini ve görünürlüğünü artırmak için GitHub Takipçileri, Yıldızları, Çatalları ve İzleyicileri satın alın” yazıyor. “Gerçek katılım, projenize daha fazla geliştirici ve katkıda bulunanı çeker!”
Araştırmacılar, “npm ve PyPI gibi paket kayıtlarında sahte yıldız kampanyalarına sahip yalnızca birkaç depo yayınlanıyor” dedi. “Daha da azı geniş çapta benimseniyor. Sahte yıldız kampanyalarına katılan hesapların en az %60’ında önemsiz etkinlik kalıpları var.”
Açık kaynaklı yazılım tedarik zinciri siber saldırılar için çekici bir vektör olmaya devam ederken, bulgular yıldız sayısının tek başına güvenilmez bir kalite veya itibar sinyali olduğunu ve daha fazla incelenmeden kullanılmaması gerektiğini yineliyor.
Microsoft’un sahip olduğu kod barındırma platformu, Ekim 2023’te WIRED ile paylaşılan bir açıklamada, sorunun yıllardır farkında olduğunu ve sahte yıldızları hizmetten kaldırmak için aktif olarak çalıştığını söyledi.
Araştırmacılar, “Bir ölçüm olarak yıldız sayısının ana zayıf noktası, tüm GitHub kullanıcılarının eylemlerinin, tanımında eşit ağırlığı paylaşmasıdır” dedi.
“Sonuç olarak, çalışmamızda gösterdiğimiz gibi, yıldız sayısı, yüksek hacimli bot hesapları veya (tartışmalı olarak düşük itibar) kitle kaynaklı insanlarla kolayca şişirilebilir. Bu tür bir istismardan kaçınmak için GitHub, sinyal deposuna yönelik ağırlıklı bir metrik sunmayı düşünebilir. popülerlik (örneğin, ağ merkeziliğinin boyutlarına dayalı olarak), bunun sahtesini yapmak oldukça zordur.”