Kötü niyetli bir NPM paketi, Material Tailwind için meşru yazılım kitaplığı gibi görünen ve bir kez daha tehdit aktörlerinin açık kaynaklı yazılım havuzlarında kötü niyetli kod dağıtma girişimlerini gösteren bulundu.
Material Tailwind, sahipleri tarafından “Tailwind CSS ve Material Design için kullanımı kolay bileşen kitaplığı” olarak tanıtılan CSS tabanlı bir çerçevedir.
ReversingLabs güvenlik araştırmacısı Karlo Zanki, The Hacker News ile paylaşılan bir raporda, “Kötü niyetli Material Tailwind npm paketi, yararlı bir geliştirme aracı olarak görünse de, otomatik bir yükleme sonrası komut dosyasına sahiptir.” Dedi.
Bu komut dosyası, PowerShell komut dosyalarını çalıştırabilen bir Windows yürütülebilir dosyasını içeren parola korumalı bir ZIP arşiv dosyasını indirmek için tasarlanmıştır.
Material-tailwindcss adlı hileli paket bugüne kadar 320 kez indirildi ve bunların tümü 15 Eylül 2022’de gerçekleşti.
Giderek yaygınlaşan bir taktikte, tehdit aktörü, orijinal paketin sağladığı işlevselliği taklit etmeye büyük özen gösterirken, kötü niyetli özellikleri tanıtmak için bir yükleme sonrası komut dosyasını gizlice kullanır.
Bu, muhtemelen yükü bir tanılama yardımcı programı olarak devretmek amacıyla “DiagnosticsHub.exe” adı verilen bir Windows ikili dosyasını gömen uzak bir sunucudan alınan bir ZIP dosyası biçimini alır.
 |
| 2. aşama indirme kodu |
Yürütülebilir dosya içinde paketlenmiş, komuta ve kontrol, iletişim, süreç manipülasyonu ve zamanlanmış bir görev aracılığıyla kalıcılık oluşturmadan sorumlu Powershell kod parçacıklarıdır.
Typosquatted Material Tailwind modülü, son yıllarda npm, PyPI ve RubyGems gibi açık kaynaklı yazılım havuzlarını hedef alan uzun bir saldırı listesinin en sonuncusudur.
Saldırı aynı zamanda yazılım tedarik zincirini bir saldırı yüzeyi olarak vurgulamaya da hizmet ediyor ve saldırganların tek seferde birden fazla platform ve kurumsal ortam arasında hasara yol açabilecek kötü niyetli kodlar dağıtarak sahip olabileceği basamaklı etki nedeniyle önemi arttı.
Tedarik zinciri tehditleri ayrıca ABD hükümetini, federal kurumları “yalnızca güvenli yazılım geliştirme standartlarıyla uyumlu yazılımları kullanmaya” ve “tüm üçüncü taraf yazılımlar için kendi kendini onaylamaya” yönlendiren bir not yayınlamaya sevk etti.
Beyaz Saray geçen hafta yaptığı açıklamada, “Yazılım bütünlüğünün sağlanması, Federal sistemleri tehditlerden ve güvenlik açıklarından korumanın ve siber saldırılardan kaynaklanan genel riski azaltmanın anahtarıdır.” Dedi.