Devam eden bir kampanya, platformlar arası kötü amaçlı yazılım çalıştırmaları için onları kandırmak amacıyla meşru muadillerinin yüzlerce yazım hatası sürümüne sahip npm geliştiricilerini hedef alıyor.
Checkmarx, Phylum ve Socket’in son birkaç gün içinde yayınladığı bağımsız bulgulara göre saldırı, komuta ve kontrol (C2) sunucu adresi dağıtımı için Ethereum akıllı sözleşmelerinin kullanılması açısından dikkate değer.
Faaliyet ilk olarak 31 Ekim 2024’te işaretlendi, ancak en az bir hafta önce devam ettiği söyleniyor. Npm paket kayıt defterinde en az 287 yazım hatası paketi yayınlanmadı.
Phylum, “Bu kampanya ciddi bir şekilde ortaya çıkmaya başladığında, bu saldırganın popüler Puppeteer, Bignum.js ve çeşitli kripto para birimi kitaplıklarını kullanmayı amaçlayan geliştiricileri hedef alan bir yazım hatası kampanyasının ilk aşamalarında olduğu açıkça ortaya çıktı.” dedi.
Paketler, kurulum işlemi sırasında (veya sonrasında) yürütülen, sonuçta işletim sistemine dayalı olarak uzak bir sunucudan bir sonraki aşamadaki ikili dosyanın alınmasına yol açan, gizlenmiş JavaScript içerir.
İkili dosya ise kalıcılık sağlar ve ele geçirilen makineyle ilgili hassas bilgileri aynı sunucuya sızdırır.
Ancak ilginç bir şekilde, JavaScript kodu, IP adresini almak için eters.js kitaplığını kullanarak Ethereum akıllı sözleşmesiyle etkileşime giriyor. EtherHiding adlı bir kampanyanın, saldırı zincirinin bir sonraki aşamasına geçmek için Binance’in Akıllı Zincir (BSC) sözleşmelerini kullanarak benzer bir taktiği kullandığını burada belirtmekte fayda var.
Blockchain’in merkezi olmayan yapısı, sözleşmenin sunduğu IP adresleri tehdit aktörü tarafından zaman içinde güncellenebildiğinden kampanyayı engellemenin daha zor olduğu anlamına gelir, böylece eski IP adresleri engellendiğinde veya kaldırıldığında kötü amaçlı yazılımın yeni IP adreslerine sorunsuz bir şekilde bağlanmasına olanak sağlanır.
Checkmarx araştırmacısı Yehuda Gelb, “Blockchain’i bu şekilde kullanarak, saldırganlar iki önemli avantaj elde ediyor: Blockchain’in değişmez doğası nedeniyle altyapılarının devre dışı bırakılması neredeyse imkansız hale geliyor ve merkezi olmayan mimari, bu iletişimlerin engellenmesini son derece zorlaştırıyor.” dedi. .
Şu anda kampanyanın arkasında kimin olduğu belli değil, ancak Soket Tehdidi Araştırma Ekibi, istisna yönetimi ve günlüğe kaydetme amacıyla Rusça yazılmış hata mesajları tespit ettiğini ve bu da tehdit aktörünün Rusça konuşabildiğini öne sürdüğünü söyledi.
Bu gelişme, saldırganların açık kaynak ekosistemini zehirlemenin yeni yollarını bir kez daha ortaya koyuyor ve geliştiricilerin yazılım depolarından paket indirirken dikkatli olmalarını gerektiriyor.
Gelb, “C2 altyapısı için blockchain teknolojisinin kullanılması, npm ekosistemindeki tedarik zinciri saldırılarına farklı bir yaklaşımı temsil ediyor ve saldırı altyapısını kaldırma girişimlerine karşı daha dayanıklı hale getirirken tespit çabalarını da karmaşık hale getiriyor” dedi.