Siber güvenlik araştırmacıları, “OS-Info-Checker-ES6” adlı kötü niyetli bir paket keşfettiler, bu da kendisini bir sonraki aşamalı yük yükünü uzlaşmış sistemlere bırakmak için bir işletim sistemi bilgi faydası olarak gizliyorlar.
Veracode, Hacker News ile paylaşılan bir raporda, “Bu kampanya, ilk kötü amaçlı kodunu gizlemek için akıllı Unicode tabanlı steganografi kullanıyor ve bir Google Takvim etkinliği kısa bağlantısı, son yükü için dinamik bir damlalık olarak kullanıyor.” Dedi.
“OS-Info-Checker-ES6” ilk olarak 19 Mart 2025’te “Kim9123” adlı bir kullanıcı tarafından NPM kayıt defterinde yayınlandı. Yazma itibariyle 2.001 kez indirildi. Aynı kullanıcı, “OS-Info-Checker-ES6” nı bağımlılık olarak listeleyen “Skip-Tot” adlı başka bir NPM paketi yükledi. Paket 94 kez indirildi.
İlk beş versiyon, veri açığa çıkma veya kötü niyetli davranış belirtisi sergilemese de, 7 Mayıs 2025’te yüklenen sonraki bir yinelemenin, “özel kullanım erişim” karakterlerini ayrıştırmak ve sonraki aşamalı bir yükü çıkarmak için “PreoSstall.js” dosyasına gizlenmiş kodu içerdiği bulunmuştur.
Kötü amaçlı kod, kendi adına, bir Google Takvim Etkinliği Kısa Bağlantı ile iletişime geçecek şekilde tasarlanmıştır (“Calendar.App[.]google/
Ancak, bu noktada ek yük dağıtılmaz. Bu, kampanyanın ya devam eden bir çalışma ya da şu anda uykuda olduğunu göstermektedir. Başka bir olasılık, zaten sonuçlandırılmış olması veya komut ve kontrol (C2) sunucusunun yalnızca belirli kriterleri karşılayan belirli makinelere yanıt vermek üzere tasarlanmasıdır.
Veracode, “Bir sonraki C2 bağlantısını barındırmak için bir aracı olarak Google Takvimi gibi meşru, yaygın olarak güvenilir bir hizmetin bu kullanımı, algılamadan kaçınmak ve saldırının ilk aşamalarını engellemek için akıllı bir taktiktir.” Dedi.
Etkinliği de detaylandıran uygulama güvenlik şirketi ve Aikido, diğer üç paketin “OS-Info-Checker-ES6” nı bağımlılık olarak listelediğini, ancak bağımlı paketlerin aynı kampanyanın bir parçası olduğundan şüphelenildiğini belirtti-
- Dev-Terverr Görünümü
- Manzaralı
- Görünüm
Veracode, “OS-Info-Checker-ES6 paketi, NPM ekosisteminde sofistike ve gelişen bir tehdidi temsil ediyor.” Dedi. “Saldırgan, görünür testten çok aşamalı bir kötü amaçlı yazılımın dağıtılmasına kadar bir ilerleme gösterdi.”
Açıklama, 2025’in ilk yarısında tehdit aktörleri tarafından benimsenen altı ana olağanüstü teknik olarak yazılım tedarik zinciri güvenlik şirketi soketinin vurgulandığı tipiklik, gidip önbellek önbelleğe alma, gizleme, çok aşamalı yürütme, slopsquatting ve kötüye kullanılması olarak ortaya çıkıyor.
Güvenlik araştırmacıları Kirill Boychenko ve Philipp Burchenko ve Philipp Burchenko ve üçüncü taraf paketleri kullanımdan önce doğrularken, “Buna karşı koymak için savunucular beklenmedik sonrası komut dosyaları, dosya üzerine yazma ve yetkisiz giden trafik gibi davranışsal sinyallere odaklanmalıdır.” Dedi.
“Statik ve dinamik analiz, sürüm sabitleme ve CI/CD günlüklerinin yakın incelemesi, üretime ulaşmadan önce kötü niyetli bağımlılıkları tespit etmek için gereklidir.”