Geliştiricilerin sistemlerinden çevre değişkenlerini ve diğer hassas verileri çalmak için dün on NPM paketi aniden kötü amaçlı kodla güncellendi.
Kampanya, kripto para ile ilgili birden fazla paket hedefledi ve popüler ‘ülke para haritası’ paketi haftada binlerce kez indirildi.
Kötü niyetli kod, Sonatype araştırmacısı Ali Elshakankiry tarafından keşfedildi ve paket kurulumunda yürütülen “/scripts/launch.js” ve “/scripts/digripts/diagnostic-orport.js” olarak bulundu.
Kaynak: BleepingComputer
Sonatype, JavaScript’in cihazın ortam değişkenlerini çaldığını ve bunları “eoi2ectd5A5tn1h.m.pipedream (.) Net) ‘e gönderdiğini söylüyor. Çevre değişkenleri, API anahtarları, veritabanı kimlik bilgileri, bulut kimlik bilgileri ve daha fazla saldırı için kullanılabilecek şifreleme anahtarlarını içerebileceğinden yaygın olarak hedeflenir.
Kaynak: Sonatpe
Sonatype kötü amaçlı yazılım analisti ve diğer BleepingComputer muhabiri Axe Sharma’nın bir yazımda açıkladığı gibi, kötü amaçlı kod tüm depolarda aynı olduğu ve çoğu yıllarca temiz bir kayda sahip oldukları için, muhtemelen bir şekilde tehlikeye girmişlerdir.
“Kaçırmanın nedenini, kimlik bilgisi doldurma yoluyla (tehdit aktörlerinin diğer web sitelerindeki hesapları uzatmak için daha önceki ihlallerde sızan kullanıcı adlarını ve şifreleri yeniden denemeleri) tehlikeye atan eski NPM koruyucu hesapları olma nedenini varsayıyoruz – her ikisi de ortak senaryolar, NPM belgesinde açıklandı”.
Diyerek şöyle devam etti: “Farklı bakıcılardan birden fazla pakete yapılan saldırıların eşzamanlı zamanlaması göz önüne alındığında, ilk senaryo (bakıcı hesaplarının devralma), iyi yönetilmiş kimlik avı saldırılarının aksine daha olası bir senaryo gibi görünüyor.”
Paket adları, tehlikeye atılan sürümler ve kötü amaçlı sürümün kaç kez indirildiği aşağıda listelenmiştir:
- Ülke para haritası: Sürüm 2.1.8, 288 İndirme.
- @keepKey/Cihaz-Protocol: Sürüm 7.13.3, 56 İndirme.
- BNB-Javascript-SDK-Nobroadcast: Sürüm 2.16.16, 61 İndirme.
- @Bithighlander/Bitcoin-Cash-js-lib: Sürüm 5.2.2, 61 İndirme.
- ESLINT-CONFIG-TRAVIX: Sürüm 6.3.1, 0 indirmeler.
- Babel-Preset-Travix: Sürüm 1.2.1, 0 indirmeler.
- @Travix/ui-themes: Sürüm 1.1.5, 0 İndirme.
- @veniceswap/uikit: Sürüm 0.65.34, 0 İndirme.
- @CrossWise-Finance1/SDK-V2: Sürüm 0.1.21, 0 İndirme.
- @Veniceswap/Eslint-Config-Pancake: Sürüm 1.6.2, 0 İndirme.
Ülke-para haritası hariç tüm bu paketler, en son sürümleri yukarıda belirlenmiş olan NPM’de hala mevcuttur, bu nedenle bunları indirmek projelerinizi bilgi-yönetici kötü amaçlı yazılımlarla bulaşacaktır.
Ülke-para haritası paketi bakımcısı dün kötü niyetli sürümü (2.1.8) kullanımdan kaldırdı ve geliştiricilere güvenli olan 2.1.7 sürümünü kullanmalarını söyleyen bir not bıraktı.
.jpg)
Kaynak: BleepingComputer
Saldırının kötü NPM koruyucu hesap güvenliğinden kaynaklandığı hipotezi, tehlikeye atılan projelerin ilgili GitHub depolarının kötü amaçlı yazılımlarla güncellenmemesi gerçeğiyle daha da desteklenmektedir.
NPM, popüler projeler için iki faktörlü kimlik doğrulamasını zorunlu hale getirmiş olsa da, en son kampanyadan etkilenenler birkaç yıl önce son güncellemeleriyle eski paketlerdir. Dolayısıyla, koruyucuları artık aktif olarak dahil olmayabilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.