3. taraf risk yönetimi, başvuru güvenliği, yönetişim ve risk yönetimi
67 Kötü amaçlı paketler, Xorindex Yükleyici Hedef JavaScript kod paylaşım platformu
Prajeet Nair (@prajeaetspeaks) •
16 Temmuz 2025
Kuzey Kore tehdit aktörleri, devam eden bulaşıcı görüşme kampanyasının bir parçası olarak NPM kayıt defterine 67 yeni kötü amaçlı paket yükleyerek yazılım tedarik zinciri saldırılarını artırdı. Kötü amaçlı yazılım, kötü amaçlı yazılım yükleyicileri olan açık kaynaklı JavaScript geliştiricilerini hedefler.
Ayrıca bakınız: Mayhem Olmadan Birleşme: Çalışan Pam Stratejileri
En son saldırı dalgası, Nisan 2025’te başlayan ve Haziran ayında yoğunlaşan kampanyanın genişlemesini işaret ediyor. Socket’teki araştırmacılar, yeni yayınlanan NPM paketlerinin 28’ini XorIndex adlı daha önce belgelenmemiş bir kötü amaçlı yazılım yükleyicisi kullanırken, 39 kişi eski Hexeval Loader’ı kullandı. Birlikte, bu 67 paket 17.000’den fazla indirildi, 27’si hala keşif sırasında NPM kayıt defterinde yaşıyor.
Ücretsiz NPM kayıt defteri, önde gelen bir JavaScript kodu paylaşım platformu ve 2 milyondan fazla paketle. JavaScript Düğüm Paket Yöneticisi GitHub’ın bir yan kuruluşu olan NPM Inc. tarafından korunur.
Soket araştırmacıları, kayıt defterini hedefleyen kampanyanın önceki etkinliklere dayandığını söyledi. Haziran ayında, aynı Kuzey Kore tehdit aktörleri NPM ekosistemine, geliştirici sistemlerinde bilgi çalma ve arka fırınları dağıtan 35 kötü amaçlı paketle sızdı. Mevcut kampanya, açık kaynaklı tedarik zincirini hedeflemede devam eden araçların iyileştirilmesini ve kalıcılığını yansıtmaktadır.
XorIndex, xor kodlu dizeler ve dizin tabanlı gizleme dahil olmak üzere gelişmiş gizleme yöntemleri sunarak algılamayı daha zor hale getirir. Yükleyici yüklendikten sonra, sistem ana bilgisayar adı, kullanıcı adı, IP adresi, işletim sistemi türü ve coğrafi konum gibi ana bilgisayar telemetrisini toplar ve bu verileri Vercel gibi meşru altyapı platformlarında barındırılan sabit kodlu komut ve kontrol sunucularına iletir.
Kötü amaçlı yazılım daha sonra C2’den alınan JavaScript yüklerini yürütür ve Beaverail olarak bilinen ikinci aşamalı bir indiriciyi tetikler. Bu bileşen, tarayıcı uzatma verileri ve kripto para birimi cüzdan kimlik bilgileri dahil olmak üzere hassas bilgileri arar ve arşivler. Yaklaşık 50 cüzdan yolu ve çok sayıda tarayıcı profilini hedefler, verileri çıkarır ve HTTP Post isteklerini kullanarak sabit kodlu IP adreslerine eksfiltrat eder.
InvisibleFerret olarak adlandırılan son yük, üçüncü aşamalı bir arka kapı olarak işlev görür. Veriler yüklendikten sonra, Beaverail aynı C2 sunucusundan ek kötü amaçlı bileşenleri indirmeye ve yürütmeye çalışır, bu da uzlaşmış sistemler arasında kalıcı erişim ve genişletilmiş özellikler sağlar.
Soket araştırmacıları, Xorindex’in üç gelişim aşamasında hızlı evrimini belgeledi. İlk sürüm olan Postcss-Preloader, gizleme veya telemetri koleksiyonu olmadan temel uzaktan kod yürütme sundu. İkinci bir prototip olan JS-log-Print, kusurlu olmasına rağmen kısmi keşif özellikleri getirdi. Üçüncü varyant, Dev-Filterjs, ASCII tamponları ve iletilen doğru ana bilgisayar verilerini kullanılarak String Gizliliği uyguladı ve Xorindex’in daha gelişmiş mevcut sürümünün yolunu açtı.
Tehdit aktörleri kampanya ivmesini korumak için tanıdık taktiklere güveniyordu. Birçok paket, Vite-*,*-log*gibi tutarlı adlandırma kurallarını izledi ve önceki kampanyalardan yeniden kullanılan altyapı izledi. Rakipler, algılamadan kaçınmak ve kaldırılan paketleri hızla değiştirmek için e -posta adreslerini ve NPM hesap takma adlarını döndürmeye devam ettiler.
Araştırmacılar, bulaşıcı görüşme kampanyasının kalıcı, kaçamaklı ve modüler olarak tasarlandığını söyledi. Yalnızca bellek yürütme, JavaScript tabanlı yük teslimi ve meşru bulut altyapısı konusundaki güvenmesi görünürlüğü azaltır ve olay tepkisini zorlaştırır. Analistler, gelecekteki varyantların açık kaynaklı ekosistemlerden yararlanmaya devam ederken yeni yükleyici türleri, kaçırma teknikleri ve ek kötü amaçlı yazılım aileleri sunmalarını bekliyor.