Araştırmacılar, npm ekosistemini hedef alan ve Skuld bilgi hırsızını meşru araçlar gibi görünen kötü amaçlı paketler aracılığıyla dağıtan bir kötü amaçlı yazılım kampanyası keşfetti. Tehdit aktörü “k303903”, paketler kaldırılmadan önce yüzlerce makinenin güvenliğini ihlal etti.
Daha sonraki analizler, “k303903″ün muhtemelen “shegotit2” ve “basınçlı” takma adları altında çalıştığını ve tedarik zincirinin sürekli tehdidini göstererek npm ekosistemine kötü amaçlı yazılımla sızmak için aynı veya oldukça benzer taktikler, teknikler ve prosedürler (TTP’ler) sergilediğini ortaya çıkardı. saldırılar ve geliştirme ekosisteminde artırılmış güvenlik önlemlerine duyulan ihtiyaç.
NPM geliştiricilerini hedef alan kötü niyetli bir kampanya, Skuld bilgi hırsızını sunarak, iki ay içinde bu türden ikinci saldırıyı gerçekleştirdi; bu, Roblox geliştiricilerine yönelik daha önceki bir saldırıya çok benziyor ve saldırganların uyum sağlama yeteneğini gösteriyor.
Tehdit aktörleri, geliştirme makinelerini tehlikeye atmak ve hassas verileri sızdırmak için yazım hatası ve gizleme tekniklerini kullandı; bu, saldırganların ilk başarıdan sonra stratejilerini hızlı bir şekilde uyarlayarak yeni paketleme ve dağıtım yöntemleriyle tehditleri yeniden ortaya çıkardıkları yinelenen bir modeli sergiliyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Aralık 2024 kampanyasında ortak dağıtım yöntemlerinden yararlanıldı ve ticari amaçlı kötü amaçlı yazılımlara dayanıldı; bu, bu tehdit aktörlerinin aldatıcı taktikleri tutarlı bir şekilde kullandığını vurguladı.
Kod pasajı, meşru görünecek şekilde gizlenmiş bir URL’den kötü amaçlı bir ikili dosya indirmek ve ardından onu yürütmek için “fs-extra”, “path”, “node-fetch” ve “child_process” gibi kitaplıkları kullanarak kötü amaçlı bir indirme ve yürütme sürecini ortaya koyuyor .
Kodu gizlemek için Obfuscator.io kullanıldı ve bu da ilk algılamayı zorlaştırdı. Kötü amaçlı yazılım yüklendikten sonra download.exe dosya adı altındaki yükü (Skuld infostealer) alır ve çalıştırır.
Aktör k303903, popüler kitaplıklara benzeyen kötü amaçlı npm paketlerini yüklemek için yazım hatası kullandı; bu paketler, geliştiricileri bunları yüklemeye kandırdı ve Discord web kancası ve komuta ve kontrol kurulumu aracılığıyla veri sızıntısına olanak sağladı.
Meşru görünen komutlardan ve güvenilir bir hizmetten (replit.dev) yararlanmak, kötü niyetli niyeti daha da gizledi; bu da kurulumdan önce paketin dikkatli bir şekilde incelenmesinin önemini vurguluyor.
Kötü amaçlı npm paketleri yakın zamanda 600’den fazla indirildi ve etkilenen kullanıcıların kimlik bilgileri ve hassas verileri çalındı. NPM kayıt defterinin hızlı bir şekilde kaldırılmasına rağmen etkisi oldukça büyük oldu.
Socket’e göre, Kasım 2024’teki bir olayı andıran saldırı, kötü amaçlı yazılımları (Skuld gibi) yeniden kullanan ve aldatma tekniklerini geliştiren tehdit aktörlerinin hızlı evrimini gösteriyor.
Bunu azaltmak için geliştiricilerin katmanlı bir güvenlik yaklaşımı uygulaması gerekir. Otomatik araçların kullanılması, geliştirme yaşam döngüsü içindeki kötü amaçlı bağımlılıkları proaktif bir şekilde tarayabilir ve engelleyebilir, tehditleri sistemleri tehlikeye atmadan önce yakalayabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin