Kötü Amaçlı npm ve PyPi Paketleri SSH Anahtarlarını Sunucudan Sızdırıyor


Kötü Amaçlı npm ve PyPi Paketleri SSH Anahtarlarını Sunucudan Sızdırıyor

JavaScript ve Python’un her ikisinin de sırasıyla npm (Düğüm Paket Yöneticisi) ve PyPi (Python Paket Dizini) adı verilen kendi paket depoları vardır.

Yeniden kullanılabilir kod kitaplıklarının ve paketlerinin geliştiriciler tarafından yayınlanması ve paylaşılması için önemli merkezler görevi görürler.

Sonatype Güvenlik Araştırması, Kubernetes yapılandırmalarını ve SSH anahtarlarını npm paketleri aracılığıyla çıkaran npm kayıt kampanyasını izliyor. Otomatik sistemleri, araştırmacılar tarafından derhal npm kayıt defteri yöneticilerine bildirilen 14 kötü amaçlı paket buldu.

Sonatype araştırmacıları Carlos Fernandez ve Gustavo Simoes, kurulum sonrasında hassas dosyaları çalmak için karmaşık kodlar içeren JavaScript kitaplıklarını taklit eden aldatıcı paketler buluyor.



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Takip edilen paketler

Aşağıda “Sonatype-2023-4000” ve “Sonatype-2023-4004” olarak takip edilen tüm paketlerden bahsettik:-

  • @am-fe/hooks
  • @am-fe/sağlayıcı
  • @am-fe/request
  • @am-fe/utils
  • @am-fe/filigran
  • @am-fe/filigran-çekirdek
  • @dinamik-form-bileşenleri/mui
  • @dinamik-form-bileşenleri/parlaklık
  • @expue/app
  • @sabit genişlik tablosu/sabit genişlik tablosu
  • @soc-fe/use
  • @spgy/eslint-eklentisi-spgy-fe
  • @virtualsearchtable/virtualsearchtable
  • parlaklıklar

Teknik Analiz

İndirilme sayısı 200’ün altında olan paket grupları, hesaplarında “app.threatest.com” kullanma ortak noktasını paylaştı.

‘Fixedwidthtable’ adı verilen paket, açıklayıcı olmayan bir ‘typescript-sdk-tools’ GitHub deposuna bağlanıyor ve Simoes tarafından vurgulandığı gibi ilk kırmızı bayrağı yükseltiyor.

sabit genişlikte tablo
sabit genişlikli tablo veya sabit genişlikli tablo paketi (Kaynak – SonaType)

Öte yandan paket versiyonları, gerçek açık kaynak paketlerden, değişikliklerle birlikte işlevsel kodlar içerir. Uzmanlar, ‘scripts’ klasöründe gizlenmiş kod çalıştıran bir ‘index.js’ dosyasını tespit ediyor.

index.js dosyası
index.js dosyası (Kaynak – SonaType)

Benzer kod ve taktikler diğer kampanya paketlerinde de bulunuyor ve siber güvenlik araştırmacıları yüklerin gizliliğini kaldırdı.

‘@am-fe/hooks’ gibi önceki sürümler ise saldırganın niyetlerini açık yük ile ortaya koyuyordu. Önceki PoC açıklarını yansıtan komut dosyası, SSH anahtarlarını, Kubernetes yapılandırmasını ve aşağıdakiler gibi temel sistem bilgilerini toplar: –

Ancak bu gizli veri toplama ve yanıltıcı npm meta verileri, kötü niyetli niyetin varlığını gösteriyor.

Fernandez, özellikle güncel güvenlik açıklarından yararlanılması durumunda yetkisiz Kubernetes erişimi riskinin altını çiziyor. App.threatest alanı[.]com, Cloudflare IP’lerine (172.67.141.49, 104.21.9.30) çözümlenerek ilişkilendirmeyi zorlaştırır.

Ancak bunun yanı sıra güvenlik analistleri, analizleri sırasında Mandarin yorumlarına rastladılar ancak yorumlar belirli bir tehdit aktörü hakkında kesin bir sonuca varmadı.

Araştırmacılar meta veriler ve WHOIS kayıtları aracılığıyla paket yayıncılarıyla iletişime geçmeyi denedi ancak yanıt alamadılar. Mevcut bulgular göz önüne alındığında, analistler hala bu paketlerin kötü amaçlı olduğunu düşünüyor.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link