Kuzey Koreli tehdit aktörleri tarafından düzenlenen yeni bir siber kampanya, soket tehdidi araştırma ekibi tarafından ortaya çıktı ve NPM kayıt defteri aracılığıyla yazılım geliştiricilerini hedefleyen sofistike bir tedarik zinciri saldırısı ortaya koydu.
Bulaşıcı röportaj operasyonuna bağlı olarak, bu rakipler 24 hesapta 35 kötü amaçlı NPM paketi yayınladılar, altı kişi hala kayıt defterinde aktif, React-Plaine-SDK ve Vite-plugin-next-Refresh de dahil olmak üzere aktif.
Bu paketler toplu olarak 4.000’den fazla indirildi ve şüphesiz geliştiriciler için önemli bir risk oluşturdu.
.png
)
Sofistike tedarik zinciri saldırısı açıklandı
İşveren olarak poz vererek LinkedIn’de sosyal mühendislik taktiklerinden yararlanan saldırganlar, iş arayan mühendisleri kodlama atamalarına gömülü kötü amaçlı kodlar yürütmeye çekerek, kurbanları doğrudan sistem erişimi için kapsayıcı ortamları atlamak için baskı yapıyor.
Bu kampanyanın teknik karmaşıklığı, tespitten kaçınmak için tasarlanmış çok aşamalı kötü amaçlı yazılım yapısında yatmaktadır.
Her paket, kurulumdan sonra MetaTatayı barındıran ve DPRK aktörleriyle bağlantılı ikinci aşama infostealer Beaverail’i getiren hexeval olarak adlandırılan onaltılık bir yükleyici içerir.
Beaverail, Windows, MacOS ve Linux sistemlerinde tarayıcı eserleri ve kripto para birimi cüzdan dosyaları gibi hassas verileri hedeflerken, aynı zamanda kalıcı erişim için üçüncü aşamalı bir arka kapı olan InvisibleFerret’i indirir.
Hexeval Loader, modül adlarını ve komut ve kontrol (C2) uç noktalarını gizlemek için gizlenmiş onaltılı dizeler kullanır, yalnızca HTTPS sonrası istekleri yayınlamak ve yüklemeleri EPER () aracılığıyla yürütmek için çalışma zamanında kod çözer.
Çok aşamalı kötü amaçlı yazılım dağıtım
JSonsecs gibi bazı paketler, belirli hedefler tanımlandığında daha derin gözetim için platformlar arası bir keylogger bile içerir.
Rapora göre, bu iç içe yaklaşım, çalışma zamanı koşullarına dayalı koşullu yük sunumu ile birleştiğinde, saldırganların gelişen tradecraft’ı sergileyen statik analiz ve manuel incelemeleri karmaşıklaştırıyor.
Sosyal mühendislik yönü eşit derecede endişe vericidir, LinkedIn’de yıllık 192.000 ila 300.000 dolar arasında kazançlı uzaktan roller sunan sahte işe alım profilleri ile.
Bu kişiler, işe alım kimliklerini taklit eden 19 ayrı e -posta adresi ile desteklenen, kötü niyetli bağımlılıklar yerleştiren Google Dokümanlar veya Bitbucket depoları aracılığıyla kodlama görevleri gönderir.
Mağdurlardan, tam sistem uzlaşmasını sağlamak için kasıtlı bir taktik olan ekran paylaşılan görüşmeler sırasında kodu yerel olarak çalıştırmaları istendiğini bildirmektedir.
En azından Nisan 2025’ten beri aktif olan bu kampanya, Reactbootstraps gibi yazım hatları, geliştiricileri aldatmak için meşru projeleri taklit eden yazım hattı paketleri ile OSINT odaklı hedefleme ve tedarik zinciri sömürüsünün bir karışımını yansıtıyor.
Kuzey Koreli aktörler yöntemlerini minimum kayıt içi ayak izleri ve gecikmeli kötü amaçlı yazılım evrelemesiyle geliştirirken, açık kaynaklı ekosistemlere yönelik tehdit artmaktadır.
Geliştiriciler ve kuruluşlar, bu tür riskleri üretime ulaşmadan önce tespit etmek için gelişmiş güvenlik araçlarını benimsemelidir, çünkü geleneksel savunmalar bu sosyal olarak tasarlanmış saldırılara karşı yetersiz kalır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Detaylar |
|---|---|
| Kötü amaçlı NPM paketleri | React-Plaine-SDK, Sumsub-Node-Websdk, Vite-Plugin-Next-Refresh ve 32 diğer |
| C2 uç noktaları | log-server-lovat[.]Vercel[.]APP/API/ipcheck/703, IP-Check-Server[.]Vercel[.]APP/API/IP-Check/208 ve diğerleri |
| SHA256 Hashes (Keyloggers) | Winkeyserver: e58864cc22cd8ec17ae35dd81045d604aadab7c3f145b6c53b3c261855a4bb1, mackeyserver: 30043996A56D0F6AD4DDB4186BD09FFC1050DCC352F641CE3907D35174086E15, X11Keyserver: 6E09249262D9A605180DFBD0939379BBF9F37DB07680D6FFDA98D650F70A16D |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin