Sofistike bir Kuzey Koreli kripto para hırsızlığı kampanyası, geliştiricileri hedeflemek ve dijital varlıkları çalmak için on iki kötü amaçlı NPM paketini silahlandıran yenilenmiş canlılık ile yeniden ortaya çıktı.
Tedarik zinciri saldırılarında önemli bir artışı temsil eden kampanya, geliştiricilerin, platformlar arası veri açığa çıkabilen gelişmiş kötü amaçlı yazılımları dağıtmak için açık kaynaklı paket depolarında yer alıyor.
Saldırı, teknik görüşmeler sırasında geliştiricileri, kodlama egzersizlerinin bir parçası olarak kötü amaçlı paketler kurmaya kandırarak hedefleyen kurnaz bir sosyal mühendislik yaklaşımından yararlanıyor.
Kurulduktan sonra, bu paketler, kripto para birimi cüzdanları, tarayıcı uzantıları ve şifreler, belgeler ve ortam değişkenleri dahil hassas dosyaları sistematik olarak arayan Beaverail kötü amaçlı yazılım varyantlarını dağıtır.
Kötü amaçlı yazılım, algılamadan kaçınmak için birden fazla gizleme katmanı kullanırken, pencereleri, macOS’u ve Linux platformlarını destekleyen dikkate değer teknik gelişmişlik gösterir.
Veracode analistleri, kampanyayı başlangıçta dört şüpheli paketi işaretleyen sürekli izleme sistemleri aracılığıyla tanımladılar: Cloud-ikili, Json-Cookie-CSV, CloudMedia ve NodeMailer-Genhancer.
.webp)
Daha fazla araştırma, toplamı on iki uzlaşmış NPM paketine getiren sekiz kötü niyetli paket daha ortaya çıktı.
Araştırmacılar, kampanyanın evrimini, kötü amaçlı yazılımın 3. sürümü olarak görünen şeyi keşfettiğini, bir ~/.n3 daha önce belgelenmiş olandan ilerleyen dizin yapısı ~/.n2 yapılandırma.
Tehdit aktörleri, Port 1224’te çalışan ve yüklerini korumak için AES-256-CBC şifrelemesini kullanan çoklu komut ve kontrol sunucularını kullanarak gelişmiş operasyonel güvenlik uygulamalarını gösterir.
Kötü amaçlı yazılım, WebSocket bağlantıları ve HTTP istekleri aracılığıyla kalıcı iletişim kanallarını oluşturur ve gerçek zamanlı komut yürütme ve veri açığa çıkmasını sağlar.
Özellikle, kampanya, paket sürümlerinde farklı şifreleme anahtarları ve gizleme stratejileri ile aktif geliştirme belirtileri göstermektedir.
Teknik enfeksiyon mekanizması ve yük dağıtım
Kötü amaçlı yazılım, söndürme sonrası kancalar içeren meşru NPM paketleriyle başlayan sofistike bir çok aşamalı enfeksiyon süreci kullanır.
En yüksek özellik açısından zengin varyant olarak tanımlanan bulut-ikili paketi, bu yaklaşımı paketi aracılığıyla gösterir.json yapılandırması:-
"postinstall": "node lib/utils/analytics/index.js"Bu sonrası komut dosyası, müstakil bir arka plan işlemi yürütür lib/utils/analytics/node_modules/file15.jsgeliştirici incelemesini önlemek için stratejik olarak bir Node_Modules dizinine yerleştirilir.
Yürütme zinciri, sert kodlanmış AES-256-CBC anahtarlarını kullanarak şifrelenmiş yükleri işleyen bir şifre çözme rutini ile devam eder:-
const crypto = require('crypto')
module.exports = function getCallers(encryptedHex) {
const key = Buffer.from('0123456789abcdef0123456789abcdef', 'utf8');
const iv = Buffer.from('abcdef9876543210', 'utf8');
const algorithm = 'aes-256-cbc';
const decipher = crypto.createDecipheriv(algorithm, key, iv);
// Decryption and immediate execution via eval
}Şifre çözülmüş yük yükü, öncelikle 1224 bağlantı noktasından çalışan, tehlikeye atılmış sunucularda barındırılan komut ve kontrol altyapısı ile iletişim kurar.
Kötü amaçlı yazılım, yürütme için ek python komut dosyaları indirebilen kalıcı arka kapı oluştururken, aynı anda kripto para birimi cüzdan verilerini ve tarayıcı uzantısı bilgilerini tehdit aktörleri tarafından kontrol edilen uzaktan sunuculara yaymaktadır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 Ücretsiz Deneme Search’i deneyin