Siber güvenlik araştırmacıları, çalınan verileri aktör kontrollü web kancalarına iletmek için Discord’u bir komuta ve kontrol (C2) kanalı olarak kullanan npm, Python ve Ruby ekosistemlerinde çeşitli kötü amaçlı paketler tespit etti.
Discord’daki web kancaları, bir bot kullanıcısı veya kimlik doğrulaması gerektirmeden platformdaki kanallara mesaj göndermenin bir yoludur; bu da onları, saldırganların kontrolleri altındaki bir kanala veri sızdırması için çekici bir mekanizma haline getirir.
Soket araştırmacısı Olivia Brown bir analizde “Web kancası URL’lerinin etkili bir şekilde salt yazılabilir olması önemli” dedi. “Kanal geçmişini açığa çıkarmıyorlar ve savunucular yalnızca URL’yi bilerek önceki gönderileri tekrar okuyamıyorlar.”
Yazılım tedarik zinciri güvenlik şirketi, Discord web kancalarını çeşitli şekillerde kullanan bir dizi paket tespit ettiğini söyledi:
- config.json, .env, ayarlar.js ve ayarlar.json gibi geliştirici yapılandırma dosyalarının içeriğini Discord web kancasına aktaran mysql-dumpdiscord (npm)
- uyarıları büyük olasılıkla günlüğe kaydetmek için Discord web kancasını kullanan nodejs.discord (npm) (doğası gereği kötü amaçlı olmayan bir yaklaşım)
- malinssx, malicus ve maliinn (PyPI), “pip install” kullanılarak paketler her kurulduğunda bir kanala HTTP isteği tetikleyerek Discord’u C2 sunucusu olarak kullanır.
“ - “/etc/passwd” ve “/etc/resolv.conf” gibi hassas dosyaların içerikleri de dahil olmak üzere ana bilgisayar bilgilerini toplayan ve bunu sabit kodlu bir Discord web kancasına gönderen sqlcommenter_rails (RubyGems.org)
Brown, “Discord web kancalarının C2 olarak kötüye kullanılması önemlidir çünkü tedarik zinciri saldırılarının ekonomisini tersine çevirir” dedi. “Tehdit aktörleri özgür ve hızlı oldukları için kendi altyapılarını barındırmaktan ve sürdürmekten kaçınırlar. Ayrıca, genellikle normal kod ve güvenlik duvarı kurallarına uyum sağlayarak güvenli kurbanlardan bile sızmaya izin verirler.”
“Discord C2 mekanizmasına sahip kötü amaçlı paketler, yükleme sırasındaki kancalarla veya derleme komut dosyalarıyla eşleştirildiğinde, çalışma zamanı izleme uygulamayı görmeden çok önce geliştirici makinelerden ve CI çalıştırıcılarından .env dosyalarını, API anahtarlarını ve ana bilgisayar ayrıntılarını sessizce sifonlayabilir.”
Bulaşıcı Röportajlar npm’yi Sahte Paketlerle Taştı
Açıklama, şirketin ayrıca, doğrudan JavaScript hırsızı ve indiricisini bırakmak yerine HexEval, XORIndex gibi kötü amaçlı yazılım ailelerini ve BeaverTail sağlayan şifreli yükleyicileri dağıtmak için Kuzey Koreli tehdit aktörleri tarafından Bulaşıcı Röportaj kampanyasıyla ilişkili olarak yayınlanan 338 kötü amaçlı paketi işaretlediği için geldi. Paketler toplu olarak 50.000’den fazla kez indirildi.
Güvenlik araştırmacısı Kirill Boychenko, “Bu son dalgada, Kuzey Koreli tehdit aktörleri, yeni npm takma adlarına ve kayıt e-postalarına bağlı 180’den fazla sahte kişi kullandı ve bir düzine komuta ve kontrol (C2) uç noktasını çalıştırdı” dedi.
Kampanyanın hedefleri arasında Web3, kripto para birimi ve blockchain geliştiricilerinin yanı sıra LinkedIn gibi profesyonel platformlarda kazançlı fırsatlarla ulaşılan teknik sektörde iş arayanlar yer alıyor. Daha sonra olası hedeflere, halihazırda npm kayıt defterinde yayınlanmış olan kötü amaçlı bir pakete (örneğin, eslint-detector) başvuran bubi tuzaklı bir depoyu klonlayarak bir kodlama atamasını tamamlamaları talimatı verilir.
Makinede yerel olarak çalıştırıldığında, sözde projede referans verilen paket, tarayıcı kimlik bilgilerini, kripto para birimi cüzdan verilerini, macOS Anahtar Zincirini, tuş vuruşlarını, pano içeriğini ve ekran görüntülerini toplamak için bir hırsız (yani BeaverTail) görevi görür. Kötü amaçlı yazılım, InvisibleFerret kod adlı platformlar arası Python arka kapısı da dahil olmak üzere ek yükleri indirmek için tasarlandı.
Kuzey Koreli aktörler tarafından yüklenen yüzlerce paketten birçoğu, özellikle Node.js, Express veya React gibi ön uç çerçevelerle ilgili olanlar olmak üzere meşru benzerlerinin (örneğin, dotevn vs. dotenv) yazım hatalarıdır. Tanımlanan kitaplıklardan bazılarının Web3 kitlerine benzer olduğu da bulunmuştur (örneğin, ethrs.js vs. ethers.js).
Boychenko, “Bulaşıcı Röportaj bir siber suç hobisi değil, bir montaj hattı veya fabrika modeli tedarik zinciri tehdidi gibi çalışıyor” dedi. “Bu, hafta sonu ekibi değil, kalıcı kaynak temini ile devlet tarafından yönlendirilen, kota odaklı bir işlemdir ve ilgili yayıncı hesabı aktif kalırsa kötü amaçlı bir paketin kaldırılması yeterli değildir.”
“Kampanyanın gidişatı, npm ekosistemini yenilenebilir bir başlangıç erişim kanalı olarak ele alan, dayanıklı, fabrika tarzı bir operasyona işaret ediyor.”