Bilgisayar korsanları, kötü amaçlı kodları yaygın olarak kullanılan kütüphanelere enjekte etmek için sıklıkla NPM paketlerini hedef alırlar ve bu sayede çok büyük bir geliştirici ve uygulama tabanına ulaşabilirler.
Bu tür istismarlar yoluyla tehdit aktörleri, kötü amaçlı yazılım dağıtmak için kaynak kodu ve yapılandırma dosyaları gibi hassas bilgileri çalabilir.
Phylum araştırmacıları yakın zamanda Kuzey Koreli bilgisayar korsanlarının kötü amaçlı NPM paketleri aracılığıyla geliştiricilere aktif olarak saldırdığını keşfetti.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Teknik Analiz
Kuzey Kore bağlantılı tehdit aktörleri, 12 Ağustos 2024’ten bu yana npm’deki kötü amaçlı kampanyalarını yenilediler ve aralarında aşağıdakilerin de bulunduğu birden fazla paket yayınladılar:
- temp-etherscan-api
- ethersscan-api
- telgraf-con
- qq-konsol
C2 “Bulaşıcı Röportaj” ile bağlantılı olan bu kampanya, internetten ek kötü amaçlı yazılım özelliklerinin alınabildiği çok katmanlı maskeli JavaScript kullanıyor.
Diğer şeylerin yanı sıra, kripto para cüzdanları için tarayıcı uzantılarını gizlice yüklemek, hassas içeriklerini sürekli olarak aramak ve çalmak için Python betiklerini ve hatta Python yorumlayıcısının tam çalışan bir sürümünü kullanıyor.
Ayrı bir paket olan helmet-validate’te, config.js’ye gömülü olduğu ve harici JavaScript’i yüklemek için eval() yapısını kullandığı için kod eklemenin başka bir yöntemi daha vardır.
Bu tür saldırılar, geliştirici topluluğu için büyük bir tehdit oluşturan Taktik, Teknik ve Prosedürler (TTP) yöntemlerinin evrimini ortaya koyuyor.
Kuzey Kore bağlantılı ‘Moonstone Sleet’ gibi Gelişmiş Sürekli Tehdit gruplarının da npm ekosistemine gelişmiş tedarik zinciri saldırıları düzenlediği biliniyor.
Kullandıkları yöntemler arasında, içinde yoğun şekilde gizlenmiş JavaScript yükleri bulunan sass-notification gibi typosquat yapılmış paketlerin kullanılması da yer alıyor.
Kötü amaçlı betikler, ipcheck gibi bazı kötüye kullanılan sitelerden kötü amaçlı kod getiren eval() kullanımını içerir[.]bulut ve mirotalk[.]net (her ikisi de 167’ye çözümleniyor[.]88[.]36[.]13).
Bunun dışında, saldırı zinciri genellikle PowerShell işlemlerini başlatan toplu komut dosyalarıyla başlayan çok aşamalı yürütmeyi içerir.
XOR, PowerShell süreçleri kullanılarak indirilen yükleri şifresini çözer, yansıma yoluyla yükleri dll’ler olarak yükler ve geride kalan eserleri ortadan kaldırmak için anti-adli bilişim tekniklerini uygular.
Aktörler ayrıca npm install sırasında veya derleme işlemi sırasında kötü amaçlı kod çağırmak için package.json betik alanlarını kullanırlar.
Bu kampanya, Kuzey Kore operasyonlarındaki net ilerlemeleri vurguluyor; bilgi gizleme, tespit edilmekten kaçınma ve statik analiz ve uç nokta koruma yöntemlerini aşarak operasyona devam etme gibi gelişmiş teknikleri sergiliyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
IoC’ler
ipkontrol[.]bulut
45[.]61[.]158[.]14
167[.]88[.]36[.]13
95[.]164[.]17[.]24
| Paket Adı | Sürüm | Paket Tarball Sha256 |
|---|---|---|
| ethersscan-api | 0.0.1 | d4f3113e1e0384bcf37c39678deb196fb5b39f15c4990134b6b8637be74e5a2e |
| ethersscan-api | 0,0,2 | f1f3002dec6e36e692e087626edd9b6b0f95a176c0c204d4703ccb4f425aa317 |
| ethersscan-api | 0,0,3 | 5e5313aaf281c8a8eed29ba2c1aaa5aa65bc174bcd0be466f4533712599db758 |
| kask-doğrulama | 0.0.1 | 2a00838ccd08b26c7948d1dd25c33a114dd81c3bcee3de595783e6f396e7f50e |
| qq-konsol | 0.0.1 | aec21b53ee4ae0b55f5018fc5aaa5a4f095a239a64272ca42047c40ec3c212c0 |
| sass-bildirimi | 1.0.0 | f7c142178605102ee56f7e486ba68b97f3f6b522994b24f4116dbbd2abc28cec |
| telgraf-con | 0.0.1 | 0110318f70072171c0edc624c8e8be38892f984b121d6a5a5ced1f6b0b45dbd0 |
| temp-etherscan-api | 0.0.1 | 94da263d603bf735ab85f829b564261e59a1d13915d21babe58e72435bfe32ab |