Bilgisayar korsanlarının, kötü amaçlı npm paketlerini kötüye kullanmak için birden fazla nedeni vardır; çünkü popüler açık kaynak kitaplıklarını, kullanıcıların bilgisi olmadan kötü amaçlı yazılım veya arka kapıları dağıtmak için bir araç olarak kullanabilirler.
İkinci olarak, tehdit aktörlerinin bu virüslü paketleri kullanan geliştiricilerin ve ajansların ağlarına ve sistemlerine sızmasına izin verin.
Çünkü gizli bilgileri alabilirler, tedarik zinciri saldırıları başlatabilirler ve hatta bu hesapları kripto para madenciliği yapmak için kullanabilirler. Genel olarak, npm paketlerinden yararlanmak bilgisayar korsanları için etkili ve gizli bir saldırı yöntemidir.
Phylum’daki siber güvenlik araştırmacıları yakın zamanda geliştiricileri gelişmiş RAT sağlayan kötü amaçlı npm paketleri konusunda uyardı.
Teknik Analiz
Phylum’un otomatik risk platformu yakın zamanda, bir damlalık görevi gören ve uzaktan erişim sağlayan dosyaları gizleyen glup-debugger-log adlı şüpheli bir npm paketi tespit etti.
package.json dosyasında derleme ve test komut dosyaları aracılığıyla yürütülen bazı karmaşık dosyalar bulundu.
Kötü amaçlı kodun giriş noktasının, karartılmış bir play.js dosyasındaki kod gizlemesi kaldırıldıktan sonra bağlama() yöntemi olduğu belirlendi.
Bind() işlevi, rastgele bir sayı üreten ve ardından start() ve share()’ı eşzamansız olarak çalıştıran kodu dışa aktarır.
Start(), “p” ve “pv” tuşları için sabit kodlanmış boş dizeler içeren bazı yapılandırma bilgilerini alır.
Daha sonra, kötü amaçlı yazılımın gönderilip gönderilmeyeceğine karar vermek için checkEnv işlevini kullanarak ortam doğrulamaları yapar.
Bu kontroller, ağ arayüzü doğrulaması, Windows işletim sistemi kontrolü ve geliştiricinin masaüstü klasöründe büyük olasılıkla aktif geliştiricilerin makinelerine yönelik en az 7 programın bulunmasının sağlanmasından oluşur.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Tüm bu testler başarılı olursa, kod, komutu yerel olarak çalıştırmayı veya uzak bir veri indirip çalıştırmayı ve uzaktan erişim sağlayan bir arka plan komut dosyasını sürdürmeyi deneyecektir.
Kod, ilk ortam kontrollerine kıyasla ekstra kontroller yapar. Kod, belirli makineleri MAC adresleri veya IP’ler aracılığıyla hedefleyebilen bir “eşleşme” anahtarı olarak tanımlanabilir.
Yalnızca Windows sistemlerine izin verir ve kullanıcının Masaüstü klasöründe muhtemelen etkin bir geliştirici makinesi olduğunu gösteren en az 7 şeyin bulunması gerekir.
Başarılı bir kontrolün ardından, önceden sabit kodlanmış bir Base64 dizesinin kodunu “cmd.exe” olarak çözerek veya verilen URL’den uzak bir veriyi “indirerek” bir komutu yerel olarak çalıştırır.
Üstelik, ana işlem çıktıktan sonra bile, daha sonraki kötü amaçlı faaliyetler için kalıcı olan başka bir ayrı komut dosyası çalıştırır.
Saldırganın bu şekilde uzlaşma sağlamak için geliştiricilerin sistemleriyle ilgilendiği görülüyor.
Gizli play-share.js, 3004 numaralı bağlantı noktasında bir HTTP sunucusu kurar. Bunun üzerinden “cmd” ile bir sorgu göndermek, saldırganın güvenliği ihlal edilen sistemde yürütme komutunu verebileceği anlamına gelir.
Belirtilen komutu yürütmek için child_process’i kullanır ve ardından bu komutun çıktısını döndürür.
Ana damlalığın yanı sıra, basit ancak kaba bir RAT oluşturacak kadar güçlü olduğundan uzaktan kod yürütmeyi mümkün kılar.
JavaScript’te yazılırken bazı modülerlik, gizlilik, ortam hedefleme ve gizleme teknikleri kullanılır.
Bu, saldırganların açık kaynaklı ekosistemlerde kötü amaçlı yazılım geliştirmeyi nasıl geliştirdiğini gösteriyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo