Bilinmeyen bir tehdit aktörünün, kurban makinelerden kaynak kodunu ve yapılandırma dosyalarını çalmak amacıyla geliştiricileri hedeflemek için kötü amaçlı npm paketlerinden yararlanması, tehditlerin açık kaynak depolarında nasıl tutarlı bir şekilde gizlendiğinin bir işaretidir.
Yazılım tedarik zinciri güvenlik firması Checkmarx, The Hacker News ile paylaşılan bir raporda, “Bu kampanyanın arkasındaki tehdit aktörünün 2021 yılına kadar uzanan kötü niyetli faaliyetlerle bağlantısı olduğu belirlendi.” dedi. “O zamandan beri sürekli olarak kötü amaçlı paketler yayınladılar.”
En son rapor, Phylum’un ayın başında açıkladığı, bir dizi npm modülünün değerli bilgileri uzak bir sunucuya sızdırmak üzere tasarlandığı kampanyanın devamı niteliğinde.
Paketler, tasarım gereği, package.json dosyasında tanımlanan bir kurulum sonrası kancası aracılığıyla kurulumdan hemen sonra yürütülecek şekilde yapılandırılmıştır. Sistem meta verilerini yakalamak ve ayrıca belirli dizinlerden kaynak kodu ve sırları toplamak için index.js’yi üreten preinstall.js’nin başlatılmasını tetikler.
Saldırı, betiğin veriler için bir ZIP arşivi oluşturması ve bunu önceden tanımlanmış bir FTP sunucusuna aktarmasıyla sonuçlanır.
Tüm paketleri birbirine bağlayan ortak özellik, package.json dosyasında yazar olarak “lexi2” kullanılmasıdır; bu, Checkmarx’ın etkinliğin kökenlerini 2021’e kadar izlemesine olanak tanır.
Kampanyanın kesin hedefleri belirsiz olsa da binarium-client, binarium-crm verockrefer gibi paket adlarının kullanılması, hedeflemenin kripto para birimi sektörüne yönelik olduğunu gösteriyor.
Güvenlik araştırmacısı Yehuda Gelb, “Kripto para sektörü sıcak bir hedef olmayı sürdürüyor ve sadece kötü amaçlı paketlerle değil, aynı zamanda sürekli ve titizlikle planlanmış saldırıları aylar hatta yıllar öncesine dayanan ısrarcı düşmanlarla da boğuştuğumuzu anlamak önemli.” dedi.