Geliştirici Sistemlerinde Ters Kabukları Dağıtan 48 Kötü Amaçlı npm Paketi Bulundu


03 Kasım 2023Haber odasıYazılım Güvenliği / Kötü Amaçlı Yazılım

Ters Kabuklar

Npm deposunda, güvenliği ihlal edilmiş sistemlere ters kabuk yerleştirme yeteneklerine sahip 48 adet yeni kötü amaçlı npm paketi seti keşfedildi.

Yazılım tedarik zinciri güvenlik firması Phylum, “Yasal görünmek için yanıltıcı bir şekilde adlandırılan bu paketler, paket kurulumunda ters kabuk başlatmak üzere tasarlanmış karmaşık JavaScript içeriyordu” dedi.

Sahte paketlerin tümü hktalent (GitHub, X). Bu yazının yazıldığı an itibariyle, yazar tarafından yüklenen paketlerden 39’u hâlâ indirilmeye hazır durumdadır.

Siber güvenlik

Saldırı zinciri, rsh.51pwn’ye ters kabuk oluşturmak için bir JavaScript kodunu çağıran package.json dosyasındaki bir yükleme kancası aracılığıyla paketin kurulumundan sonra tetiklenir.[.]com.

Phylum, “Bu özel durumda, saldırgan, bu paketlerden birini yükleyen herhangi bir makineye eninde sonunda bir ters kabuk yerleştirme girişiminde bulunmak amacıyla, çeşitli gizleme katmanları ve aldatıcı taktikler içeren düzinelerce zararsız paket yayınladı.” dedi.

npm Paketleri

Bulgular, uluslararasılaştırmayı basitleştirme kisvesi altında Python Paket Dizini’nde (PyPI) yayınlanan iki paketin, hassas Telegram Masaüstü uygulama verilerini ve sistem bilgilerini aktarmak için tasarlanmış kötü amaçlı kod içerdiğinin ortaya çıkmasının hemen ardından geldi.

Localization-utils ve locute adı verilen paketlerin, dinamik olarak oluşturulmuş bir Pastebin URL’sinden son veri yükünü aldığı ve bilgileri, aktör tarafından kontrol edilen bir Telegram kanalına sızdırdığı ortaya çıktı.

Siber güvenlik

Bu gelişme, tehdit aktörlerinin açık kaynak ortamlarına artan ilgisinin altını çiziyor; bu da onların aynı anda birden fazla alt müşteriyi hedef alabilecek etkili tedarik zinciri saldırıları oluşturmasına olanak tanıyor.

Phylum, “Bu paketler, çeşitli gizleme teknikleri kullanarak statik analiz ve görsel inceleme yoluyla tespit edilmeyi önlemek için özel ve ayrıntılı bir çaba gösteriyor” dedi ve “açık dünyamızda bağımlılık güveninin kritik doğasının bir başka çarpıcı hatırlatıcısı olarak hizmet ettiklerini” ekledi. kaynak ekosistemleri.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link