Kuzey Kore devlet destekli tehdit aktörleri, 50.000’den fazla indirilen 338 kötü amaçlı npm paketini dağıtan “Bulaşıcı Röportaj” adlı karmaşık bir kampanya aracılığıyla yazılım geliştiricilerine yönelik tedarik zinciri saldırılarını yoğunlaştırdı.
Operasyon, meşru işe alım süreçleri olarak gizlenen ayrıntılı sosyal mühendislik planları aracılığıyla Web3’ü, kripto para birimini ve blockchain geliştiricilerini hedef alan npm kayıt defterinin silahlandırılmasında çarpıcı bir artışı temsil ediyor.
Kampanya, LinkedIn gibi profesyonel platformlarda keşifle başlayan çok aşamalı bir saldırı çerçevesi üzerinde çalışıyor.
Tehdit aktörleri, potansiyel kurbanları teknik uzmanlık ve finansal fırsat açısından tarayarak işe alım görevlisi veya işe alma yöneticisi rolüne bürünür.
Özellikle kripto para cüzdanları, blockchain altyapısı ve Web3 uygulamalarıyla çalışan geliştiricileri hedef alarak değerli kimlik bilgileri, özel anahtarlar ve para kazanılabilir sırlar içermesi muhtemel sistemleri tehlikeye atmaya çalışıyorlar.
.webp)
Socket.dev analistleri, kötü amaçlı yazılımları, kötü niyetli bağımlılıklar içeren kodlama atamalarını içeren hileli iş fırsatları alan kurbanlardan gelen raporların ardından tespit etti.
.webp)
Araştırmacılar, tehdit aktörlerinin araçlarını doğrudan BeaverTail kötü amaçlı yazılım düşürücülerden daha karmaşık HexEval, XORIndex ve paket yükleme veya içe aktarma işlemleri sırasında çalıştırılan şifreli yükleyicilere doğru geliştirdiklerini keşfetti.
Kötü amaçlı paketler, geliştiricilerin özellikle Node.js ortamlarında rutin olarak yüklediği günlük bağımlılıkları hedef alan yazım hatası teknikleri kullanıyor.
Örnekler arasında epxreso/epxresso/epxressoo (Express), dotevn (dotenv) ve boby_parser (body-parser) gibi popüler paketlerin çeşitleri yer alır.
Bu strateji, adayların kapsamlı bir inceleme olmaksızın “npm install” komutlarını yürüttüğü teknik görüşmelerde yaygın olan son teslim tarihi baskısından yararlanır.
Gelişmiş Şifreleme ve Kalıcılık Mekanizmaları
En son dalga, saldırganların teknik yeteneklerinde önemli bir gelişme olduğunu gösteren şifrelenmiş yükleyicileri tanıtıyor.
Bu yükleyiciler, sabit kodlu AES-256-CBC şifreleme anahtarları ve başlatma vektörleriyle Node.js kripto işlevlerini kullanır ve şifrelenmiş yükleri LİSANS belgeleri gibi görünüşte zararsız dosyalarda depolar.
Kötü amaçlı yazılım, genellikle kalıcı sistem erişimi için InvisibleFerret arka kapısını getirmeden önce, bellekte gizlenmiş BeaverTail kötü amaçlı yazılımını yeniden yapılandırır.
Şifrelenmiş yükleyici uygulaması, şifre çözme mantığını aynı paket içindeki birden fazla dosyaya böler.
redux-saga-sentinel paketinin analizi, yükleyicinin, şifrelenmiş yükü LİSANS dosyasında saklarken lib/utils/smtp-connection/parse.js dosyasına Düğüm kriptosunu nasıl içe aktardığını ortaya koyuyor.
Çalışma zamanı sırasında yükleyici, ikinci aşama JavaScript kodunu kurtarmak için onaltılık şifreli metnin şifresini çözer; bu, statik analiz tespitinden kaçınmak için gizlemeyi sürdürür.
Bu teknik, geleneksel güvenlik araçlarının algılayabileceği disk tabanlı yapıtlardan kaçınırken bellek içi yürütmeye olanak tanır.
Kurtarılan veri, HTTP/HTTPS protokolleri üzerinden komuta ve kontrol iletişimi kurar ve genellikle Vercel gibi meşru barındırma platformlarını kullanarak normal geliştirici trafik kalıplarına uyum sağlar ve ağ iletişimlerini izleyen güvenlik ekipleri için tespit etmeyi önemli ölçüde zorlaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
