Npmjs’deki kötü amaçlı “solanacore”, “solana giriş” ve “walletcore-gen” paketleri, Slack web kancaları ve ImgBB API’leri aracılığıyla keylogging ve veri sızdırma için Windows truva atları ve kötü amaçlı yazılımlara sahip Solana geliştiricilerini hedef alıyor.
Yakın zamanda keşfedilen bu kripto hırsızları, kodlarındaki kötü niyetli niyetlerini açıkça ortaya koyan alışılmadık bir şeffaflık sergiliyor; bu, bu tür kötü amaçlı yazılımların kullandığı tipik gizleme teknikleriyle tam bir tezat oluşturuyor ve bu kötü amaçlı yazılımları geliştirmek ve dağıtmak için farklı bir yaklaşıma sahip, benzersiz ve potansiyel olarak daha az karmaşık bir tehdit aktörünü akla getiriyor. paketler.
Bir npm kullanıcısı bu ay, her biri aynı dosya yapısına ve koda sahip üç farklı paket (solanacore, solana-login ve Walletcore-gen) yayınladı; bunlar toplu olarak 1.900’den fazla kez indirildi; bu, muhtemelen indirme sayılarını yapay olarak artırma ve potansiyel olarak npm’leri manipüle etme girişimini temsil ediyor. popülerlik sıralaması.
Kurulum paketi, başarılı kurulumun ardından yürütülebilir bir web tarayıcısı kılığında bir truva atının yürütülmesini tetikleyen ve anında yürütme için postinstall komutunu kullanan kötü niyetli komut dosyaları içerir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Bu paketlerde gizlemenin olmaması, ağır gizlemeyle ilişkili tetikleyicilerden kaçınarak tehdit tespitinden kaçmaya yönelik kasıtlı bir girişim olabilir.
Bu paketler, gelecekteki saldırılar için bir test ortamı görevi görebilir ve saldırganların kötü amaçlı yükleri yayınlamadan önce ortamı değerlendirmek için başlangıçta zararsız paketler dağıttığı geçmiş eğilimleri yansıtabilir.
Bu paketlerdeki “intel_keyboard_driver.ps1” PowerShell betiği, kullanıcı tuş vuruşlarını yakalamak ve kaydetmek için tasarlanmıştır; çünkü bu bilgiler daha sonra dinamik olarak depolanır ve “ok.txt” adlı yerel olarak oluşturulan bir metin dosyasına eklenir.
Keylogging betiği, webhook’a, kaydedilen tuş vuruşlarını içeren “ok.txt” dosyasına işaret eden base64 kodlu bir URL göndererek Slack webhook’undan yararlanır ve hassas verileri Slack platformu aracılığıyla uzak bir sunucuya etkili bir şekilde sızdırır.
“Erişilebilirlik” PowerShell betiği, hedef sistemin ekran görüntülerini yakalar ve ardından bu ekran görüntülerini uzak bir sunucuya sızdırmak için ImgBB görüntü yükleme API’sini kullanarak sistem güvenliğinden ödün verir.
Veri sızdırma için Discord Webhooks’u kullanıyorlar ve kodlarında bariz bir şekilde “LOCKBITAI” fidye yazılımı grubuna atıfta bulunuyorlar, çünkü bu tanımlayıcının karmaşık olmayan tekniklerle birlikte kullanılması, LockBit grubuyla gerçek bir bağlantı olasılığının düşük olduğunu gösteriyor.
Sonatype’e göre, muhtemelen Solana kullanıcılarını hedef alan kötü amaçlı npm paketlerinin, düz metin şifreleri dağıttığı ve derhal kaldırılması ve etkilenen sistemlerin kapsamlı bir şekilde iyileştirilmesi gereken tehlikeye atılmış ana bilgisayarları tehlikeye atabileceği gözlemlendi.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!