Siber suçlular, kötü amaçlı bir npm paketi olan `@typescript_eslinter/eslint’i dağıtmak için yazım hatasından yararlandı ve orijinal eklentiyi taklit etmek üzere tasarlanmış meşru TypeScript ESLint eklentisini arayan geliştiricileri hedef aldı; tuş vuruşlarını, pano verilerini izleyerek ve uzaktan komutlar yürüterek sistemleri tehlikeye attı.
İkincil bir kötü amaçlı paketin (`@typescript_eslinter/prettier`) varlığı, bu tür saldırıların oluşturduğu devam eden tehdidi vurguladığından, gerçek zamanlı kontrol ve veri sızdırma için bir WebSocket sunucusundan yararlandılar ve daha yüksek güvenlik farkındalığı ve paket doğrulama uygulamalarına olan ihtiyacı vurguladılar. açık kaynak ekosistemi.
Npm’de yayınlandı ve geliştiricileri onu yüklemeye ikna etmeyi amaçlayan 43 sürümü hızla yayınlandı. Bu kötü amaçlı paket, kurulduktan sonra karmaşık bir saldırı zinciri yürüterek npm ekosistemindeki olası yazım hatası risklerini vurguladı.
Ayrıca pano-olay kitaplığını kullanarak pano etkinliğini gizlice izler ve panoda bir değişiklik tespit ettiğinde yeni içeriği günlüğe kaydeder; bu da potansiyel saldırganların panoya kopyalanan hassas bilgilere yetkisiz erişim elde etmesine olanak tanır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Kod pasajı, bir tuşa basıldığında (‘e.state === “DOWN”`) tüm tuş vuruşlarını (fare olayları hariç) yakalayan genel bir klavye dinleyicisi oluşturmak için “node-global-key-listener” paketini kullanır.
Bir tuşa basıldığında, anahtar adını “pendingData.fuzzer” adlı bir değişkene ekler, bu da potansiyel olarak kullanıcı tarafından yazılan şifreler veya API anahtarları gibi hassas bilgileri biriktirir ve kodun kötü niyetli olduğunu düşündürür çünkü potansiyel olarak hassas kullanıcı girdilerini farkında olmadan toplar. .
Komut dosyası, kötü amaçlı bir `.bat’ dosyasını Windows Başlangıç klasörüne kopyalar; bu, kötü amaçlı kodun sistem yeniden başlatıldığında kalıcı olarak yürütülmesini sağlar. Komut dosyası kendisini başlatma sürecine dahil ederek sistemde bir yer edinir ve potansiyel olarak daha fazla kötü amaçlı aktiviteye olanak tanır.
Kalıcı bir WebSocket bağlantısı kurarak, büyük olasılıkla kötü amaçlı amaçlarla uzak bir sunucuyla gerçek zamanlı iletişim kurmaya çalışır.
İlk önce sunucunun IP adresini (ws://135.181.226.254:5051) ortaya çıkarmak için bir Base64 dizesinin kodunu çözer ve potansiyel olarak hedefin konumunu gizler; bu da statik analizi atlamayı ve algılamayı zorlaştırmayı amaçlar.
Bağlandıktan sonra komut dosyası, hassas verileri sızdırabilir veya ele geçirilen sistemde komutlar yürütebilir ve böylece saldırganın kontrolü daha da ileri gidebilir.
Kötü amaçlı paket, meşru bir linting aracı olan ESLint’i silme işlevinden yararlanarak geliştiricilerin güvenilir işlemleri kullanmasını engelliyor ve bu da paketin bu işlemleri kendi kötü amaçlı işlemleriyle değiştirmesine olanak tanıyor.
Socket’e göre saldırganlar, @typescript-eslint/eslint-plugin paketindeki güvenlik açığından yararlanarak çok çeşitli sistemlere ve geliştiricilere erişim sağlamayı başardı.
İkincil kötü amaçlı paket @typescript_eslinter/prettier bir tehdit olmaya devam ediyor ve Hetzner Online GmbH ile ilişkili 135.181.226.254 IP adresi saldırının altyapısına bağlı.
Yakın zamanda açık kaynak ekosistemine karşı `@typescript_eslinter/eslint` kötü amaçlı paketini içeren son derece karmaşık bir saldırı başlatıldı.
Birincil paket npm’den kaldırılsa da ikincil yükü olan `@typescript_eslinter/prettier` devam ediyor ve devam eden bir tehdit oluşturuyor.
Socket for GitHub ve Safe npm CLI gibi araçlar, tedarik zinciri saldırılarını engelleyerek ve çeşitli kod kalitesi ve güvenlik sorunlarını işaretleyerek bu tür tehditleri etkili bir şekilde tanımlayabilir ve azaltabilir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free