Node.js projeleri için sıklıkla kullanılan popüler npm platformunu etkileyen kötü niyetli bir tedarik zinciri saldırısı tespit edildi.
Bu saldırı, yazım hatası olarak bilinen bir taktiği kullanır; burada kötü niyetli aktörler, geliştiricileri aldatmak için yasal adlara çarpıcı biçimde benzeyen adlara sahip paketler oluşturur.
ReversingLabs’taki siber güvenlik araştırmacıları, açık kaynaklı yazılım geliştirme alanında endişe verici bir eğilimi ortaya çıkardı.
Bu durumda, tek bir “s” harfinin görünüşte zararsız bir yazım hatası, meşru bir npm paketini kötü niyetli ikizinden ayırır ve tehlikeli bir kötü amaçlı yazılım türü olan r77 rootkit’in teslim edilmesine yol açar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Typosquatting Kampanyasının Aldatıcı Paketi
Bu kampanyanın merkezindeki kötü amaçlı npm paketi “node-hide-console-windows” adıyla anılıyor.
Bir uygulamanın konsol penceresi görünürlüğünü değiştirmek için kullanılan meşru npm paketi “node-hide-console-window”u kurnazca taklit eder.
İki isim arasındaki benzerlik o kadar incedir ki gözden kolayca kaçar. Bu kötü amaçlı paketin, npm bakımcıları tarafından tespit edilip kaldırılmadan önce 700’den fazla kez indirildiği keşfedildi.
Saldırının Anatomisi:
Saldırı, görünüşte zararsız bir e-posta veya kötü amaçlı pakete bağlantı içeren bir mesajla başlar.
Bağlantıyı tıklayan şüphelenmeyen geliştiriciler, “düğüm-gizleme-konsol-pencere” için meşru bir npm sayfası gibi görünen bir sayfaya yönlendirilir.
Bu sayfa, gerçeği yakından yansıtacak şekilde tasarlanmıştır ve geliştiricilerin herhangi bir tutarsızlığı ayırt etmesini zorlaştırır.
Kötü amaçlı paketin, yasal paketin sürüm geçmişiyle eşleşen on sürümü bile yayınlandı.
Daha fazla araştırma yapıldığında, hatalı kodun “node-hide-console-windows” paketinin “index.js” dosyasında bulunduğu ortaya çıktı.
Bu kod güvenilir olmaktan uzaktı ve Discord Uzaktan Yönetim Aracını veya DiscordRAT 2.0’ı serbest bırakan bir yürütülebilir dosya getirdi.
Bu açık kaynaklı araç “yalnızca eğitim amaçlı” olarak tasarlanmıştır ancak bu kampanyada kötü niyetli olarak istismar edilmektedir.
DiscordRAT’ın Rolü
DiscordRAT 2.0, kötü niyetli aktörlerin virüslü ana bilgisayarları kolayca kontrol etmesine olanak tanıyan çok yönlü bir araçtır.
Çalıştırıldığında her kurban için Discord’da bir kanal oluşturuyor ve ele geçirilen makineye bir başlangıç yükü gönderiyor.
Saldırgan buradan, bilgi almaktan güvenlik özelliklerini devre dışı bırakmaya ve hatta kurbanın cihazını kapatmaya kadar çeşitli komutlar verebilir.
Bu kampanyada DiscordRAT, r77 rootkit’inin kurbanın makinesine dağıtılmasında da önemli bir rol oynuyor.
r77 Rootkit: Açık Kaynak Tehdidi:
Bu kampanyada DiscordRAT ile birlikte verilen r77 rootkit, çevrimiçi olarak kolayca bulunabilen açık kaynaklı kötü amaçlı yazılımların bir örneğidir.
İşlevleri arasında, virüslü makinedeki dosya ve süreçlerin gizlenmesi, tespit edilmesinin ve kaldırılmasının zorlaştırılması yer alıyor.
Rootkit’in daha önceki kötü amaçlı saldırılarda kullanıldığı dikkat çekiyor ancak bu, onun kötü amaçlı bir açık kaynaklı npm paketi içinde ilk kez gizlendiğini gösteriyor.
Tehdit Ortamını Genişletmek
Bu kampanya, açık kaynak projelerinin kötü amaçlı yazılım dağıtımı için araç olarak kullanıldığı büyüyen bir eğilimin altını çiziyor.
Daha önceki saldırılar öncelikle sahte veya güvenliği ihlal edilmiş hesaplara dayanıyordu, ancak bu yazım hatası kampanyası gibi BEC 3.0 saldırıları meşru hizmetler alanında işliyor ve tespit edilmesi daha zor hale geliyor.
Açık kaynaklı projelerde bile, saldırganların geliştirme hatlarına sızmak için en küçük farklılıklardan yararlanması nedeniyle hiçbir ayrıntının gözden kaçırılmaması gerekir.
Kuruluşların, açık kaynak paketleriyle ilişkili riskleri tespit etmek için adlandırma, paket sürümü oluşturma, kod gizleme ve daha fazlasının dikkatli bir şekilde incelenmesi dahil olmak üzere araçlarını keskinleştirmeleri gerekiyor.
Bu riskleri azaltmak için geliştiricilerin, açık kaynak paketlerini projelerine entegre ederken ayrıntılara karşı dikkatli ve dikkatli davranmaları ve bunların yanlışlıkla kötü amaçlı bağımlılıklar oluşturmadıklarından emin olmaları gerekir.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.