Kötü niyetli NPM paketi, tespitten kaçınmak için unicode steganografisi kullanır


NPM

Düğüm Paket Yöneticisi Dizinindeki kötü amaçlı bir paket, komut ve kontrol konumu için URL’yi barındırmak için kötü amaçlı kod ve Google takvim bağlantılarını gizlemek için görünmez Unicode karakterlerini kullanır.

Paket, adlandırılmış OS-Info-Cecker-ES6bir bilgi hizmeti olarak görünür ve ayın başından bu yana 1000’den fazla indirildi.

Bir kod güvenlik değerlendirme şirketi olan Veracode’daki araştırmacılar, paketin ilk sürümünün 19 Mart’ta Düğüm Paket Yöneticisi (NPM) endeksine eklendiğini ve sadece ana bilgisayardan işletim sistemi bilgilerini topladığı için iyi huylu olduğunu buldu.

Yazar, birkaç gün sonra platforma özgü ikili dosyaları ve gizlenmiş kurulum komut dosyalarını dahil etmek için değişiklikler ekledi.

7 Mayıs’ta, son yükü sağlayan “sofistike bir C2 (komut ve kontrol) mekanizması” için kod içeren paketin yeni bir sürümü yayınlandı.

Yazma sırasında NPM’de bulunan ‘OS-Info-Checker-ES6’ nın en son sürümü v1.0.8 ve kötü niyetli, Veracode uyarıyor.

Ayrıca, paket diğer dört NPM paketi için bir bağımlılık olarak listelenmiştir: Skip-Tot, Vue-Dev-Serverr, Vue-Dumyy ve ‘Vue-Bit-hepsi erişilebilirlik ve geliştirici platform mühendislik araçları olarak poz verir.

Bu paketlerin tehdit oyuncusu tarafından nasıl teşvik edilip edilmediği veya nasıl teşvik edildiği belirsizdir.

Unicode Steganografi

Kötü niyetli sürümde, saldırgan verileri ‘|’ gibi görünen verileri yerleştirdi. sicim. Bununla birlikte, dikey çubuğu varyasyon seçicileri takviyesi aralığından (U+E0100 ila U+E01EF) uzun bir görünmez Unicode karakter dizisi takip eder.

Bu unicode karakterleri normal olarak değiştiricilerdir, tipik olarak “karmaşık komut dosyalarında belirli glif varyasyonları sağlamak için” kullanılır. Bu durumda, rolleri metin tabanlı steganografi kolaylaştırmaktır – diğer verilerdeki bilgileri gizlemek.

Veracode, son yükü barındıran konuma ulaşmak için bir Google Takvim Kısa bağlantısına dayanan sofistike bir C2 mekanizması için bir yük bulmak için dizeyi çözdü ve bozdu.

Araştırmacı, Google Takvim bağlantısını getirdikten sonra, istek için bir HTTP 200 OK yanıtı alana kadar bir dizi yönlendirmenin kontrol edildiğini açıklar.

Sonra kazar Veri tabanı Son yükü işaret eden Base64 kodlu bir URL’yi tutan etkinliğin HTML sayfasından öznitelik.

Aranan bir işlevi kullanarak ymmogvj, URL, kötü amaçlı yazılım yükü almak için kod çözülür. Araştırmacılar, talebin yanıt gövdesinde temel kodlanmış bir aşama-2 kötü amaçlı yazılım yükü ve muhtemelen bir başlatma vektörü ve HTTP başlıklarında gizli bir anahtar beklediğini söylüyor- son yükün olası şifrelemesinin bir göstergesi.

Veracode ayrıca yükün de yürütüldüğünü buldu. değerlendirme (). Komut dosyası, sistemin geçici dizininde aynı anda birden fazla örneğin çalışmasını önleyen basit bir kalıcılık mekanizması içerir.

Analiz sırasında, araştırmacılar nihai yükü alamadı, bu da kampanyanın beklemede veya hala erken bir aşamada olabileceğini düşündürdü.

Veracode bulgularını NPM’ye bildirmesine rağmen, şüpheli paketler hala platformda mevcuttur.

Kırmızı Rapor 2025

14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.



Source link