Açık kaynaklı yazılım tedarik zinciri yakın zamanda yazarablerust tarafından yayınlanan kötü amaçlı bir Rust kasası olan evm birimleri biçiminde aldatıcı bir tehditle karşılaştı.
Ethereum Sanal Makine (EVM) sürümlerini doğrulamak için standart bir yardımcı program olarak maskelenen paket, kaldırılmadan önce binlerce indirme işlemi gerçekleştirdi.
Kitaplık meşru sürüm kontrolleri yapıyor gibi görünse de, yürütme sırasında sistemleri sessizce tehlikeye sokan karmaşık bir yük yükleyicisini gizledi.
Kötü amaçlı yazılımın birincil saldırı vektörü get_evm_version() işlevini içeriyordu. Bu işlev, yalnızca bir sürüm numarası döndürmek yerine, uzak bir komut ve kontrol URL’sini almak için Base64 dizesinin kodunu çözdü.
Saldırı, evm birimlerine bağlı olan ve # yoluyla başlatma sırasında kötü amaçlı kodu otomatik olarak çağıran uniswap-utils adlı ikincil bir paket tarafından daha da güçlendirildi.[ctor::ctor].
Bu akıllı bağımlılık zinciri, kötü amaçlı yazılımın, kötü niyetli kasayla doğrudan etkileşim gerektirmeden geliştiricilerin ortamlarına bulaşmasına olanak tanıdı ve iyi huylu bir yardımcı aracı etkili bir şekilde bir Truva atına dönüştürdü.
Socket.dev güvenlik analistleri, kasanın davranışını analiz ettikten sonra, kötü amaçlı yazılımın gizlilik ve hedefli kaçırmaya odaklandığını tespit etti.
Araştırmaları, uyumlu yükleri getirmek için linux, darwin veya win32 gibi belirli Kullanıcı Aracısı başlıklarını kullanarak yük yürütmenin kurbanın işletim sistemine göre büyük ölçüde özelleştirildiğini vurguladı.
İşletim Sistemine Özel Enfeksiyon Mantığı
Kötü amaçlı yazılımın karmaşıklığı, Rust’un koşullu derleme özelliklerini kullanan dahili check() işlevinde açıkça görülmektedir #[cfg(target_os)] yürütmeyi uyarlamak.
Linux ve macOS’ta kod, geçici dizine bir komut dosyası indirir ve görünür çıktıyı önlemek için onu nohup kullanarak çalıştırarak kurbanın habersiz kalmasını sağlar.
Windows uygulaması, Çin antivirüsü Qihoo 360 ile ilişkili bir işlem olan qhsafetray.exe’yi tarayarak daha da karmaşık hale gelir.
%20(Source%20-%20Socket.dev).webp)
Antivirüs yoksa kötü amaçlı yazılım, gizli bir PowerShell örneğini başlatmak için bir VBScript oluşturur.
Tersine, eğer antivirüs mevcutsa, buluşsal algılama mekanizmalarından kaçınmak için PowerShell’i bastırılmış oluşturma bayraklarıyla doğrudan çalıştırarak uyum sağlar ve savunma araçlarına ilişkin keskin bir farkındalık gösterir.
if !is_360 {
let vbscript_code = format!(
r#"Set objShell = CreateObject("WScript.Shell")
objShell.Run "powershell.exe ...", 0, False"#
);
}Bu ayrıntılı hedefleme, tehdit aktörlerinin özellikle Asya pazarlarındaki kullanıcılardan kripto para birimi kimlik bilgilerini toplamayı amaçladığını gösteriyor.
Saldırganlar, tehlike_accept_invalid_certs(true) özelliğini kullanarak dayanıklılığı daha da artırdı; altyapılarının standart ağ güvenliği doğrulamasını atlamak için kendinden imzalı sertifikalar kullanarak çalışmasına izin vererek, kötü amaçlı alanları engelleme çabalarını karmaşık hale getirdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
