GuardDog yazılımı kullanılarak PyPi ve npm içerisinde yapılan ölçeklenebilir paket taramasında, “Stressed Pungsan” adı verilen DPRK bağlantılı bir tehdit aktörü kümesine bağlı iki kötü amaçlı paket tespit edildi.
Kümelenme, gelişmiş bir tedarik zinciri saldırı vektörünü gösteren Microsoft’un MOONSTONE SLEET’i ile güçlü bir şekilde örtüşüyor.
Paketler, kötü amaçlı yazılım dağıtımı için ilk erişim noktalarıdır ve hedeflenen ortamlarda veri sızdırma, kimlik bilgisi hırsızlığı ve yatay hareket imkanı sağlar.
npm kullanıcısı nagasiren978 iki kötü amaçlı paket yükledi, “harthat-haş” Ve “harthat-fire7 Temmuz 2024’te, Kuzey Kore’ye ait olduğu düşünülen bir C2 sunucusundan ek kötü amaçlı yazılımlar indiren “” adlı bir saldırı gerçekleştirildi.
Sunucu, kötü amaçlı toplu komut dosyaları yayıyor ve bir DLL, Microsoft’un tanımladığı Kuzey Koreli bir tehdit aktörü olan MOONSTONE SLEET ile tutarlı olarak, hedef olarak Windows sistemlerini işaret ediyor.
Şüpheli iki npm paketi, harthat-hash ve harthat-api, uzak bir sunucudan kötü amaçlı bir DLL’i indirmek için önceden yüklenmiş bir betik kullanarak, rundll32 kullanarak çalıştırarak ve ardından kendini imha ederek kötü amaçlı davranış sergiliyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Paketler, indirme URL’sindeki benzersiz tanımlayıcı dışında neredeyse aynı; bu da potansiyel olarak farklı yüklerle birden fazla kurbanı hedefleyen bir kampanya olduğunu gösteriyor.
Adı şu olan kötü amaçlı bir npm paketi: harthat-fire Meşru paket Hardhat’in isimlerine benzer isimler kullanarak meşru paketi taklit eder.
Kod, iyi bilinen node-config deposundan kaynaklansa da kötü amaçlı paket, package.json dosyasını değiştirerek ön kurulum betiğini kaldırıyor ve adını config olarak değiştiriyor.
Ayrıca, bu alıntı içerisinde amaçları analiz edilmeyen deference.js ve pk.json adlı iki ek dosya daha bulunmaktadır.
Ön kurulum betiği, uzak bir sunucudan geçici bir dosya gibi gizlenmiş bir DLL dosyasını kötü amaçlı bir şekilde indirir, adını “package.db” olarak değiştirir ve “rundll32” sistem yardımcı programını kullanarak yürütür.
“Sistem İkili Proxy Yürütme” olarak bilinen bu teknik, tespit edilmekten kaçınmaya çalışır ve ardından indirilen DLL’yi silerek ve orijinal “package.json” dosyasını geri yükleyerek kötü amaçlı etkinliğini maskeleyerek temizler.
Datadog Güvenlik Araştırma ekibinin kötü amaçlı yazılım analizius DLL, görünürde kötü amaçlı bir işlevselliğe sahip olmayan, görünüşte zararsız bir ikili dosya ortaya çıkardı. İki işlevi dışa aktardı, bunlardan biri olan GenerateKeyW’nin kötü amaçlı kod içermesi bekleniyor.
DLL içerisinde herhangi bir kendi kendini değiştirme veya zararlı davranışın statik ve dinamik analizlerle ortaya çıkarılamadığı görüldü.
Kötü amaçlı kodun bulunmaması, DLL’nin eksik veya test sürümü olduğunu, tehdit aktörünün altyapıyla denemeler yaptığını veya operasyonel bir hata yaptığını gösterir.
Son saldırıda, tehdit aktörleri hedefleri, meşru görünmek için muhtemelen kopyalanmış içerik barındıran kötü amaçlı npm paketleri olan harthat-api-v1.3.1.zip ve harthat-hash-v1.3.3.zip aracılığıyla tehlikeye attı.
Kötü amaçlı yükler 142.111.77.196 IP adresinden indirildi. Potansiyel tehlike göstergeleri (IOC’ler) arasında Temp.b (package.db olarak da bilinir) dosya adları ve onun SHA256 karması d2a74db6b9c900ad29a81432af72eee8ed4e22bf61055e7e8f7a5f1a33778277 yer alıyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide