Kötü niyetli NPM Paketi İş Arayanları Cazibe eder ve Hassas Verileri Sunurlar

Kendini ilan eden Ukraynalı bir Web3 ekibi, bir röportajın ilk turu sırasında bir topluluk üyesini, Klon ve Github deposunun Klon ve Github deposuna yönlendirerek hedefledi.

Faul oyunundan şüphelenen kişi, kapsamlı bir analiz yapan ve projenin bağımlılıklarına gömülü kötü amaçlı bileşenleri ortaya çıkaran Slowmist güvenlik ekibiyle temasa geçti. Onay ile Slowmist, riskleri vurgulayan bir kamu danışmanlığı yayınladı.

Sahte bir görüşme sürecinde tehdit

Meşru bir açık kaynak projesi olarak görünen depo, yakın zamanda kullanımdan kaldırılan [email protected]’ü yeni bir paketle, [email protected] ile değiştirmek için paketini güncellemişti.

Birincisi, NPM’nin güvenlik ekibi tarafından kötü amaçlı yazılım içerdiği için listelenmişken, yeni yayınlanan, şimdi silinmiş bir GitHub kaynağıyla bağlantılı, şüpheleri artırdı.

Diseksiyon, paketin/rtk-logger/lib/utils/smtp-connection dizinindeki kötülükleri, index.js ithal modüllerini fs.readfile aracılığıyla okuduğu, parse.js’deki özel bir parselib () işlevi aracılığıyla ayrıştırdığını ve Değer () kullanarak çıktıyı yürüttüğünü ortaya çıkardı.

Bu parselib (), sabit kodlu tuşlarla AES-256-CBC şifre çözme ve onaltılık kodlu şifreden gizlenmiş kodu çözmek için IV’ü kullanır ve algılamadan tasarlanmış bir yükü ortaya çıkarır.

SlowMist tarafından yapılan deobfuscation çabaları, veri hırsızlığı için tasarlanmış bir trojanize NPM paketi olarak [email protected] onayladı.

Krom, cesur, opera ve firefox gibi tarayıcılara yolları sabitler, uzatma verilerini, kripto para birimi cüzdan dosyalarını ve giriş kimlik bilgileri, şifreleme anahtarları ve sertifikalar gibi hassas kullanıcı bilgilerini hedefler.

Kötü niyetli davranışların analizi

Bu tarayıcılardan Kripto cüzdan uzantılarının yanında bu tarayıcılardan uploadfiles () tarama ve eksfiltrat gibi işlevler, 144.172.112.106 numaralı telefondan saldırgan kontrollü bir sunucuya yüklemek için bunları bir araya getirir.

Özel rutinler arasında Firefox’a özgü veriler için uploadMozilla (), Exodus cüzdan artefaktları için uploades (), macOS anahtarlı parolalar ve sertifikalar için upkeychain () ve daha geniş tarayıcı kimlik doğrulama için upuserdata ().

Yükleme () işlevi, bu hasat edilen verileri, şifreleme veya işleme olmadan ham iletir, pozlama risklerini yükseltir.

Eksfiltrasyonun ötesinde, paket ek yükler yürütür: runp () aynı IP’den fermuarlı bir arşivi kontrol eder veya indirir, çıkarır ve potansiyel olarak daha fazla kötü amaçlı yazılım dağıtır.

Xt () işlevi Windows’taki işletim sistemlerine uyum sağlar, uzak bir python komut dosyasını getirmeden ve çalıştırmadan önce python.exe kullanılabilirliğini doğrular; Diğerlerinde Python3’ü doğrudan çağırır.

AJ gibi diğer bileşenler, komut ve kontrol için 172.86.64.67’ye, uzaktan komut yürütmeyi, çevre algılamasını (örneğin sanallaştırma kontrolleri) ve günlüğe kaydetme için soket oluşturun.

AK, AL ve AM gibi komut dosyaları, saldırı yüzeyini tarayıcı veri hırsızlığı, hassas dosyalar için dosya sistemi taraması, keylogging, ekran görüntüsü yakalama ve pano izleme, saldırgan uç noktalarına tüm huni huni ile genişletir.

Kilengn, Taqveemahsan ve Zinping de dahil olmak üzere deponun çatalları, tehdidi sürdürerek orijinal [email protected]’ü korudu.

Bu olay, saldırganların infostaler’ları dağıtmak, varlık hırsızlığı ve veri ihlallerini riske atmak için iş yemlerinin altını çiziyor. Slowmist, hassas verilerden yoksun kum havuzlarında bilinmeyen projelerin izole edilmesini teşvik eder.

2018’den beri bir blockchain güvenlik firması olarak Slowmist, Binance ve OKX gibi büyük değişimleri denetleyerek bu tür ekosistem güvenlik açıklarına karşı proaktif savunmaları vurguladı.

Uzlaşma Göstergeleri (IOCS)

AWS Security Services: 10-Point Executive Checklist - Download for Free