Siber güvenlik araştırmacıları, Ethereum özel anahtarlarını toplamak ve güvenli kabuk (SSH) protokolü aracılığıyla makineye uzaktan erişim sağlamak için tasarlanmış, npm kayıt defterinde yayınlanan bir dizi şüpheli paket keşfetti.
Yazılım tedarik zinciri güvenlik şirketi Phylum, geçen hafta yayınlanan bir analizde, paketlerin “saldırganın SSH genel anahtarını kök kullanıcının yetkili_anahtarlar dosyasına yazarak kurbanın makinesine SSH erişimi sağlamaya çalıştığını” söyledi.
Kampanya kapsamında belirlenen meşru Ethers paketini taklit etmeyi amaçlayan paketlerin listesi şöyle:
Çoğu “crstianokavic” ve “timyorks” adlı hesaplar tarafından yayınlanan bu paketlerden bazılarının, çoğu minimal düzeyde değişiklik taşıdığından test amaçlı yayınlandığı düşünülüyor. Listedeki en yeni ve en eksiksiz paket ethers-mew’dir.
Bu, npm kayıt defterinde benzer işlevlere sahip sahte paketlerin keşfedildiği ilk sefer değil. Ağustos 2023’te Phylum, kötü niyetli bir bağımlılık getirerek kullanıcıların özel anahtarlarını Çin’deki bir sunucuya sızdıran popüler bir kripto para birimi kütüphanesinin yazım hatası olan ethereum-cryptographyy adlı bir paketin ayrıntılarını verdi.
En son saldırı kampanyası, kötü amaçlı kodun doğrudan paketlerin içine yerleştirildiği ve tehdit aktörlerinin Ethereum özel anahtarlarını “ether-sign” alanına aktarmasına olanak tanıyan biraz farklı bir yaklaşımı benimsiyor.[.]com” onların kontrolü altındadır.
Bu saldırıyı çok daha sinsi yapan şey, paketi yüklemenin tetiklemeyi tetiklemek için yeterli olduğu tipik durumların aksine, geliştiricinin, içe aktarılan paketi kullanarak yeni bir Cüzdan örneği oluşturmak gibi, kodundaki paketi gerçekten kullanmasını gerektirmesidir. kötü amaçlı yazılımın yürütülmesi.
Buna ek olarak, ethers-mew paketi, saldırganın sahip olduğu bir SSH anahtarı eklemek ve saldırganın ele geçirilen ana bilgisayara kalıcı uzaktan erişim sağlaması için “/root/.ssh/authorized_keys” dosyasını değiştirme yetenekleriyle birlikte gelir.
Phylum, “Yazarların hesaplarıyla birlikte tüm bu paketler yalnızca çok kısa bir süre için kullanıma sunuldu ve görünüşe göre yazarların kendileri tarafından kaldırılıp silindi” dedi.