Siber güvenlik araştırmacıları, bir Linux sisteminin birincil diskinini geri döndürülemez bir şekilde yazabilen ve onu takılamaz hale getirebilen sonraki aşamalı yükleri almak için gizlenmiş kodu içeren üç kötü niyetli GO modülü keşfettiler.
Paketlerin adları aşağıda listelenmiştir –
- zımpara[.]com/truefulpharm/prototransform
- zımpara[.]com/blankloggia/go-mcp
- zımpara[.]com/steelpoor/tlsproxy
Soket araştırmacısı Kush Pandya, “Meşru görünmeye rağmen, bu modüller uzaktan yükleri almak ve yürütmek için tasarlanmış yüksek derecede şaşkın kod içeriyordu.” Dedi.
Paketler, çalıştırıldıkları işletim sisteminin Linux olup olmadığını kontrol etmek için tasarlanmıştır ve eğer varsa WGY kullanarak uzak bir sunucudan bir sonraki aşama yükü alır.
Yük, tüm birincil diskin (“/dev/sda”) üzerine yazan ve sıfırlarla yazan ve makinenin önyüklemesini etkili bir şekilde önleyen yıkıcı bir kabuk komut dosyasıdır.
Pandya, “Bu yıkıcı yöntem, veri kurtarma aracı veya adli işlemin verileri doğrudan ve geri döndürülemez bir şekilde üzerine yazdığı için geri yükleyememesini sağlamaz.” Dedi.
“Bu kötü niyetli senaryo, hedeflenen Linux sunucularını veya geliştirici ortamlarını tamamen sakat bırakarak, görünüşte güvenilir kodu yıkıcı tehditlere dönüştürebilen modern tedarik zinciri saldırılarının ortaya koyduğu aşırı tehlikeyi vurguluyor.”
Açıklama, kayıt defterinde anımsatıcı tohum ifadelerini ve özel kripto para anahtarlarını çalmak ve hassas verileri dışarı atmak için özelliklerle birden fazla kötü amaçlı NPM paketinin tanımlandığı için gelir. Soket, Sonatype ve Fortinet ile tanımlanan paketlerin listesi aşağıdadır –
- Crypto-incrypt-ts
- React-anal-ScollPageViewTest
- BankingBundleserv
- ButtonFactoryServ-Paypal
- tommyboytesting
- PulansianCeadserv-Paypal
- oauth2-paypal
- PaytApiplatformService-Paypal
- Userbridge-Paypal
- Userrelationship-Paypal
Kripto para cüzdanlarını hedefleyen kötü amaçlı yazılım paketleri, Python Paket Dizin (PYPI) deposunda-Web3x ve herden WeLletbot-sifon anemonik tohum cümlelerini sifonlama özelliklerine sahip olarak keşfedilmiştir. Bu paketler, 2024’te yayınlandığından beri toplu olarak 6.800’den fazla indirildi.
Yedi PYPI paketinden oluşan bir başka set, Gmail’in SMTP sunucularını ve WebSockets’i algılamadan kaçınmak için veri söndürme ve uzaktan komut yürütme için kullandı. O zamandan beri kaldırılan paketler aşağıdaki gibidir –
- CFC-BSB (2.913 indirme)
- Coffin2022 (6.571 indirme)
- Coffin-Codes-2022 (18.126 indirme)
- Tabut-Codes-Net (6.144 indirme)
- Coffin-Codes-Net2 (6.238 indirme)
- Coffin Codes-Pro (9.012 indirme)
- Tabut mezarı (6.544 indirme)
Paketler, hizmetin SMTP sunucusuna oturum açmak için sert kodlanmış Gmail hesap kimlik bilgilerini kullanır ve başarılı bir uzlaşmaya işaret etmek için başka bir Gmail adresine bir mesaj gönderir. Daha sonra saldırgan ile çift yönlü bir iletişim kanalı oluşturmak için bir WebSocket bağlantısı kurarlar.
Tehdit Oyuncuları Gmail Alanları ile ilişkili güvenden yararlanır (“SMTP.GMAIL[.]com “) ve kurumsal vekillerin ve uç nokta koruma sistemlerinin onu şüpheli olarak işaretlemesi olası değildir, bu da onu hem gizli hem de güvenilir hale getirir.
Geri kalanların yanı sıra, Gmail ile ilgili işlevselliğe sahip olmayan, ancak uzaktan erişimi kolaylaştırmak için WebSocket mantığını içeren CFC-BSB’dir.
Bu tür tedarik zinciri tehditlerinin ortaya koyduğu riski azaltmak için, geliştiricilere yayıncı geçmişini ve GitHub depo bağlantılarını kontrol ederek paket özgünlüğünü doğrulamaları önerilir; Düzenli denetim bağımlılıkları; ve özel anahtarlar üzerinde katı erişim kontrolleri uygulamak.
Soket araştırmacısı Olivia Brown, “Saldırganlar, hassas verileri çalmak için Gmail gibi meşru hizmetleri kullanabileceğinden, olağandışı giden bağlantıları, özellikle SMTP trafiğini izleyin.” Dedi. Diyerek şöyle devam etti: “Bir pakete güvenmeyin, çünkü birkaç yıldan fazla bir süredir kaldırılmadan var.”