Uygulama Güvenliği , Yeni Nesil Teknolojiler ve Güvenli Geliştirme , Tehdit İstihbaratı
Kimlik Bilgisi Toplayabilen TurkoRat, Wallet Grabber Gibi Özelliklere Sahip
Prajeet Nair (@prajeetspeaks) •
20 Mayıs 2023
Araştırmacılar, tespit edilip kaldırılmadan önce iki ay boyunca açık kaynaklı bir bilgi hırsızını gizleyen meşru görünümlü iki kötü niyetli npm paketi belirlediler.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
ReversingLabs araştırmacıları, son iki ayda toplu olarak yaklaşık 1.200 kez indirilen nodejs-encrypt-agent ve nodejs-cookie-proxy-agent adlı iki paketin içinde saklanan açık kaynaklı bilgi hırsızı TurkoRat’ı buldu.
Bir npm kaydı, JavaScript kod paylaşımını desteklemek için açık kaynak geliştiriciler tarafından kullanılan yazılım ve meta verilerden oluşan bir JavaScript paketleri veritabanıdır.
TurkoRat, kimlik bilgileri toplama ve web sitesi çerezleri yeteneğine sahiptir ve kripto para birimini ve verilerini çalmak için kullanılan bir cüzdan hırsızı gibi özelliklere sahiptir.
ReversingLabs araştırmacıları, halka açık depolardaki mevcut paketleri araştırırken, bir dizi kötü niyetli davranış kombinasyonu belirledi.
Araştırmacılar, kodlarında sabit kodlanmış IP adresleri içeren ve komutları yürüten ve dosyalara veri yazan açık kaynaklı paketler gözlemlediler, araştırmacılar, genellikle bu etkinliğin kötü niyetli olduğunu söyledi.
“Doğru: Bu yeteneklerin hiçbiri tek başına kötü amaçlı değil. Ancak birlikte görüldüklerinde genellikle kötü amaçlı işlevselliği destekliyorlar. İlk olarak npm paketi nodejs-encrypt-agent’ın dikkatimize gelsin” dedi araştırmacılar.
nodejs-encrypt-agent adlı kötü amaçlı paketin, 30 milyondan fazla indirmeyle başka bir meşru npm modülü aracı tabanı kılığına girdiği bulundu. Tehdit aktörleri, daha gerçekçi görünmesi için ajan tabanının GitHub sayfasına bir bağlantı da ekledi.
Kötü amaçlı paketin keşfedilmesinden iki ay önce yayınlanan ajan tabanının eski bir sürümünü taklit eden tehdit aktörleri bulundu.
Kötü niyetli aktörlerin taklit ettiği ajan tabanlı modelin bu eski sürümü 6.0.2, 20 milyondan fazla indirilmişti.
Araştırmacılar, “Yüksek sürüm sayıları, yazım hatası ve diğer tedarik zinciri saldırıları yoluyla açık kaynak havuzlarına sızmayı uman kötü amaçlı yazılım yazarları arasında popülerdir; burada aceleci geliştiriciler genellikle sürüm numarasıyla belirlenen bir paketin en son sürümünü kapmak için hızlıdır.”
Araştırmacılar, nodejs-encrypt-agent’ı analiz ederken, kodun ve işlevselliğin aracı tabanlı paketi yansıttığını buldu.
Araştırmacılar, “Ancak, küçük ama çok önemli bir fark vardı: nodejs-encrypt-agent paketi, ReversingLabs tarafından analiz edildiğinde kötü amaçlı olduğu bulunan taşınabilir bir yürütülebilir dosya içeriyordu.”
Bu PE dosyası, paket çalıştırıldığında yürütülür ve index.js dosyasının ilk birkaç satırında gizli olan kötü amaçlı komutlardan yararlanır.
Belirlenen önemli kötü amaçlı davranışlardan bazıları, Windows sistem dizinlerine yazma ve buradan silme; komutları yürütme yeteneği; ve diğerlerinin yanı sıra DNS ayarlarını kurcalama yeteneğine sahiptir.
Araştırmacılar, “Gözlemlenen kötü niyetli veya şüpheli davranışların listesi uzundu; kullanıcı oturum açma kimlik bilgileri ve kripto cüzdanları dahil olmak üzere virüslü sistemlerden hassas bilgileri çalmak için tasarlanmış özelliklerin yanı sıra kötü amaçlı dosyaları analiz etmek için kullanılan korumalı alan ortamlarını ve hata ayıklayıcıları kandırmak veya yenmek için tasarlandı” dedi. .
TurkoRat’ı Keşfetmek
Tüm javascript dosyaları çıkarıldığında ve nodejs-encrypt-agent paketinin önceki sürümlerine bakıldığında, araştırmacılar TurkoRat’ı ortaya çıkardı. Araştırmacılar, PE’den çıkarılan javascript dosyalarını TurkoRat GitHub deposunda bulunan dosyalarla ilişkilendirerek bulgularını doğruladılar.
TurkoRat, bitmiş PE’nin yapılandırmasını ve yeteneklerini değiştirmek için yapı içinde özelleştirilebilir. Nodejs-encrypt-agent’ın içine gizlendiği için yasal bir yazılım paketinde saklanması da dahil olmak üzere çeşitli yollar kullanılarak dağıtılabilir.
Nodejs-encrypt-agent, TurkoRat’ı taşıyan tek paket değildi, ancak araştırmacılar, onu “nodejs içinde bulunan her dosyaya aktarılan bir bağımlılık, axios-proxy” olarak gizleyen nodejs-cookie-proxy-agent npm paketini ortaya çıkardılar. -cookie-proxy-agent sürümleri 1.1.0, 1.2.0, 1.2.1 ve 1.2.2.”
Araştırmacılar, nodejs-encrypt-agent ve nodejs-cookie-proxy-agent’taki kodun yaygın olarak kullanılan, meşru bir paketi, node-cookie-proxy-agent’ı yansıttığını ve ajan tabanı kadar popüler olmadığını ancak sürekli olarak kullanıldığını buldular. geçen yıl boyunca indirildi.
“Meşru ve kötü amaçlı paketlerin yalnızca iki harfle farklılık göstermesi, yazım hatalarının açık bir örneğidir ve bir geliştiricinin meşru düğüm tanımlama bilgisi yerine yanlışlıkla kötü amaçlı nodejs-cookie-proxy-agent’ı indirmesini ve kullanmasını çok olası kılar. -proxy-ajan” dedi araştırmacılar.