Siber güvenlik araştırmacıları, hassas geliştirici bilgilerini sızdırmak için tasarlanmış npm paket kayıt defterinde yeni bir grup kötü amaçlı paket keşfetti.
İlk olarak 31 Temmuz 2023’te “test” paketlerini tanımlayan yazılım tedarik zinciri firması Phylum, bunların “artan işlevsellik ve iyileştirme sergilediğini” söyledi ve saatler sonra kaldırıldı ve kulağa meşru gibi gelen farklı paket adları altında yeniden yüklendi.
Girişimin nihai hedefi net olmamakla birlikte, “rocketrefer” ve “binarium” gibi modüllere yapılan atıflara dayanarak kripto para birimi sektörünü hedefleyen oldukça hedefli bir kampanya olduğundan şüpheleniliyor.
Tüm paketler npm kullanıcısı malikrukd4732 tarafından yayınlandı. Tüm modüllerdeki ortak bir özellik, değerli bilgileri uzak bir sunucuya sızdırmak için donatılmış JavaScript’i (“index.js”) başlatma yeteneğidir.
Phylum araştırma ekibi, “index.js kodu, preinstall.js dosyası tarafından bir alt süreçte oluşturulur” dedi. “Bu eylem, paket kurulumu sırasında yürütülen package.json dosyasında tanımlanan kurulum sonrası kancası tarafından istenir.”
İlk adım, mevcut işletim sistemi kullanıcı adının ve mevcut çalışma dizininin toplanmasını içerir, ardından toplanan verilerle bir GET isteği 185.62.57’ye gönderilir.[.]60:8000/http. Bilginin “görünmeyen sunucu tarafı davranışlarını” tetiklemek için kullanılabileceğine inanılsa da, bu eylemin arkasındaki kesin motivasyon şu anda bilinmiyor.
Ardından komut dosyası, belirli bir uzantı grubuyla eşleşen dosyaları ve dizinleri aramaya devam eder: .env, .svn, .gitlab, .hg, .idea, .yarn, .docker, .vagrant, .github, .asp, .js , .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml ve .cfg.
Kimlik bilgilerini ve değerli fikri mülkiyeti de içerebilen toplanan veriler, en sonunda bir ZIP arşiv dosyası biçiminde sunucuya iletilir.
“Bu dizinler hassas bilgilere sahip olabilse de, kurbanın sistemine özgü olmayan ve dolayısıyla amacı kaynak kodunu veya ortamı çıkarmak olan saldırgan için daha az değerli olan çok sayıda standart uygulama dosyası içermeleri daha olasıdır. belirli yapılandırma dosyaları,” dedi Phylum.
Geliştirme, kötü amaçlı kodu yaymak için kullanılan açık kaynak havuzlarının en son örneğidir; ReversingLabs, bir komut ve kontrol (C2) sunucusuyla iletişim kurmak ve bir dosyayı indirmeye çalışmak için VMConnect gibi şüpheli python paketleri kullanan bir PyPI kampanyasını tanımlar. ek komutlarla belirtilmemiş Base64 kodlu dize.
Güvenlik araştırmacısı Karlo Zanki, “Komut getirme sonsuz bir döngüde gerçekleştirildiğinden, C2 sunucusunun operatörünün komutları ancak virüslü makinenin tehdit aktörü için ilginç olduğu belirlendikten sonra yüklemesi mümkündür.”
“Alternatif olarak, C2 sunucusu bir tür istek filtrelemesi gerçekleştiriyor olabilir. Örneğin, saldırganlar, belirli ülkelerdeki hedeflere bulaşmasını önlemek için istekleri virüslü makinenin IP adresine göre filtreleyebilir.”
Temmuz 2023’ün başlarında ReversingLabs, Brainleeches Operasyonu adlı yeni bir kampanyanın parçası olarak toplu olarak yaklaşık 1.000 kez indirilen 13 haydut npm modülünü de ortaya çıkardı.
Etkinliğin, bir içerik dağıtım ağı (CDN) olan jsDelivr’den sonraki aşama yüklerini alan bir JavaScript dosyası olan bir JavaScript e-posta ekinden başlatılan sahte Microsoft 365 oturum açma formları aracılığıyla kimlik bilgileri toplamayı kolaylaştırmak için bazı paketleri kullanmasını öne çıkaran şey nedir? npm’de barındırılan paketler için.
Başka bir deyişle, yayınlanan npm modülleri, e-posta kimlik avı saldırılarında kullanılan dosyaları barındırmanın yanı sıra geliştiricilere yönelik tedarik zinciri saldırılarını gerçekleştirmek için destekleyici bir altyapı görevi görür.
İkincisi, sahte npm paketlerini yanlışlıkla içeren uygulamalara kimlik bilgisi toplama komut dosyaları yerleştirilerek gerçekleştirilir. Kitaplıklar, 11 Mayıs ile 13 Haziran 2023 arasında npm’ye gönderildi.
Check Point, “jsDelivr’in en önemli faydalarından biri, doğrudan dosya bağlantılarıdır: Paketi yüklemek ve yerel olarak referans vermek için npm kullanmak yerine, doğrudan jsDelivr’in CDN’sinde barındırılan dosyaya bağlantı verebilirsiniz.” , söz konusu. “Ancak […] jsDelivr CDN gibi yasal hizmetler bile kötü amaçlarla kötüye kullanılabilir.”