NPM ekosisteminde şaşırtıcı bir keşif os-info-checker-es6.
İlk olarak 19 Mart 2025’te yayınlanan, ilk sürümler iyi huylu görünürken, paket hızla karmaşık bir tehdide dönüştü.
İlk yinelemeler temel işletim sistemi bilgilerini toplamaya odaklandı, ancak 22-23 Mart arasındaki sonraki güncellemeler platforma özgü derlenmiş Node.js modülleri ve karmaşık şaşkınlık tekniklerini tanıttı.
.png
)
Çok aşamalı kötü amaçlı yazılım açıklandı
Sürüm 1.0.6’ya göre, ön tester komut dosyası Unicode tabanlı steganografi kullanmaya başladı ve ek özel amaçlı düzlemden görünmez varyasyon seçici karakterlerinde kötü niyetli yükleri gizledi.
Görünür gliflerden yoksun olan bu karakterler, ikili modüller kullanılarak Base64 dizelerinde kod çözüldü, bunlar daha sonra yürütüldü. eval()geleneksel tespit mekanizmalarını atlamak için akıllı bir kaçış taktiği sergilemek.
Veracode Report’a göre, zararsız faydadan gizli yükleyiciye bu ilerleme, saldırganın yaklaşımının gizliliğinin ve uyarlanabilirliğinin altını çiziyor.
Tehdit, 7 Mayıs 2025’te yayınlanan 1.0.8 sürümüyle daha da arttı os-info-checker-es6 Google takvimi kısa bağlantılarını kullanarak yeni bir komut ve kontrol (C2) mekanizmasını entegre etti.
Kötü amaçlı yazılım komut dosyası, spesifik bir_calendar olay URL’sini getirdi, baz 64 kodlu bir bağlantıyı kazındı. data-base-title ve bir sonraki aşamalı yükü almak için onu izleyin.
Base64 kodlu bu yük, doğrudan yürütüldü ve gözlemlenen numunede tam olarak uygulanmamış olsa da, potansiyel olarak IV ve Secret anahtarları gibi şifreleme parametreleri taşıyor.
Dayanıklı bir C2 damlası olarak Google Takvimi
Google takviminin bir aracı damlası olarak kullanılması, kara listeden kaçınmak ve erken aşama engelleme çabalarını karmaşıklaştırmak için güvenilir bir platformdan yararlanan kurnaz bir harekettir.
Google Takvim Sıçan Konseptinin Kanıtı’nı anımsatan bu taktik, kötü niyetli niyet için meşru altyapıyı yeniden kullanır, ikincil bir C2 sunucusundan dinamik yükler getirir ( http://140.82.54.223/...), soruşturma sırasında anti-analiz kontrolleri tarafından hareketsiz veya korunan görünen.
Komut dosyası ayrıca yeniden deneme mantığı, hata işleme ve temp dizininde bir kalıcılık kilit dosyası içeriyordu ve bozulmalara karşı direnç sağladı.
Bu saldırının etkisi, NPM ekosistemi içindeki erişimi ile güçlendirilir. os-info-checker-es6 655 haftalık indirme ve diğer dört paket için bir bağımlılık olarak hizmet vermek-skip-tot– vue-dev-serverr– vue-dummyyVe vue-bit.
Şüpheli bir şekilde hizalanmış adlandırma modellerine sahip kullanıcılar tarafından yayınlanmıştır, bu da dahil olmak üzere kim9123 hem kötü amaçlı yazılımları yazdı hem de skip-totbu bağımlılar daha geniş bir kötü amaçlı ağa işaret ediyor, muhtemelen kötü amaçlı yazılımların aktivasyonundan önce uykuda yatıyor.
Bu tedarik zinciri tehdidi, açık kaynaklı depoları hedefleyen, ileri steganografiyi birleştiren, derlenmiş ikili ve güvenilir hizmet kötüye kullanımını hedefleyen saldırganların artan sofistike olmasını örneklendirir.
Kamu açıklamasından önce, sorun NPM’nin hafifletme için güvenlik ekibine bildirildi.
Geliştiriciler, bu kampanya, giderek karmaşıklaşan bir tehdit ortamında acil uyanıklık ihtiyacını vurguladığı için, özellikle kurulum kancaları veya yerel modülleri olan bağımlılıkları incelemeleri isteniyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!