Siber güvenlik araştırmacıları, alışılmadık bir kampanyanın parçası olarak kimlik bilgisi toplama saldırılarını kolaylaştırmak için kullanılan npm kayıt defterinde 175 yeni kötü amaçlı paket kümesini işaretledi.
Paketler toplu olarak 26.000 kez indirildi ve kod adı verilen yaygın bir kimlik avı kampanyası için altyapı görevi gördü. Beamglea Socket’e göre dünya genelinde 135’ten fazla sanayi, teknoloji ve enerji şirketini hedef alıyor.
Güvenlik araştırmacısı Kush Pandya, “Paketlerin rastgele isimleri, geliştiricilerin kazara kurulumunu olası kılmasa da, indirme sayıları muhtemelen güvenlik araştırmacılarını, otomatik tarayıcıları ve paketleri ifşa edildikten sonra analiz eden CDN altyapısını içeriyor” dedi.
Paketlerin, kurbanları kimlik bilgisi toplama sayfalarına yönlendiren yönlendirme komut dosyalarını barındırmak için npm’nin genel kayıt defterini ve unpkg.com’un CDN’sini kullandığı ortaya çıktı. Kampanyanın bazı yönleri ilk olarak geçen ayın sonlarında Safety’den Paul McCarty tarafından işaretlendi.
Özellikle kütüphane, “redirect-xxxxxx” adında bir npm paketini programlı bir şekilde oluşturmak ve yayınlamak için “redirect_generator.py” adlı bir Python dosyasıyla donatılmış olarak gelir; burada “x” rastgele bir alfasayısal dizeye karşılık gelir. Komut dosyası daha sonra kurbanın e-posta adresini ve özel kimlik avı URL’sini pakete enjekte eder.
Paket npm kayıt defterinde yayına girdikten sonra “kötü amaçlı yazılım”, yeni yayınlanan paketle ilişkili UNPKG CDN’sine referans içeren bir HTML dosyası oluşturmaya devam eder (örneğin, “unpkg)[.]com/[email protected]/beamglea.js”). Tehdit aktörünün, açıldığında UNPKG CDN’den JavaScript yükleyen ve kurbanı Microsoft kimlik bilgisi toplama sayfalarına yönlendiren HTML yüklerini dağıtmak için bu davranıştan yararlandığı söyleniyor.
“beamglea.js” JavaScript dosyası, kurbanın e-posta adresini ve kimlik bilgilerini yakalamak için kurbanın yönlendirildiği URL’yi içeren bir yönlendirme komut dosyasıdır. Socket, satın alma siparişleri, teknik özellikler veya proje belgeleri gibi görünen 630’dan fazla HTML dosyası bulduğunu söyledi.
Başka bir deyişle, npm paketleri kurulum sırasında kötü amaçlı kod çalıştıracak şekilde tasarlanmamıştır. Bunun yerine kampanya, kimlik avı altyapısını barındırmak için npm ve UNPKG’den yararlanıyor. Şu anda HTML dosyalarının nasıl dağıtıldığı belli değil, ancak bunların, alıcıları özel hazırlanmış HTML dosyalarını başlatmaları için kandıran e-postalar aracılığıyla yayılması mümkün.
Socket, “Kurbanlar bu HTML dosyalarını bir tarayıcıda açtığında, JavaScript, kurbanın e-posta adresini URL parçası aracılığıyla ileterek hemen kimlik avı alanına yönlendiriyor.” dedi.
“Kimlik avı sayfası daha sonra e-posta alanını önceden doldurarak kurbanın kendisini zaten tanıyan meşru bir giriş portalına eriştiğine dair ikna edici bir görünüm yaratıyor. Bu önceden doldurulmuş kimlik bilgisi, kurbanın şüphesini azaltarak saldırının başarı oranını önemli ölçüde artırıyor.”
Bulgular, savunmacıların önünde yer almak için tekniklerini sürekli olarak uyarlayan ve aynı zamanda kendilerini tespit etmek için sürekli olarak yeni teknikler geliştiren tehdit aktörlerinin sürekli gelişen doğasını bir kez daha vurguluyor. Bu durumda, meşru altyapının geniş ölçekte kötüye kullanıldığı vurgulanıyor.
Pandya, “NPM ekosistemi doğrudan bir saldırı vektörü olmaktan ziyade farkında olmadan altyapı haline geliyor” dedi. “Bu paketleri yükleyen geliştiriciler herhangi bir kötü niyetli davranış görmüyor ancak özel hazırlanmış HTML dosyalarını açan kurbanlar kimlik avı sitelerine yönlendiriliyor.”
“Saldırganlar, 9 hesapta 175 paket yayınlayarak ve kurbana özel HTML oluşturmayı otomatikleştirerek, hiçbir barındırma maliyeti gerektirmeyen ve güvenilir CDN hizmetlerinden yararlanan dayanıklı bir kimlik avı altyapısı oluşturdu. Npm’nin açık kayıt defteri, unpkg.com’un otomatik sunumu ve minimum kodun birleşimi, diğer tehdit aktörlerinin benimseyeceği tekrarlanabilir bir taktik kitabı oluşturuyor.”