Kuzey Koreli tehdit aktörleri, NPM paketleri aracılığıyla dağıtılan BeaverTail kötü amaçlı yazılımını içeren silahlı Javascript projeleriyle yazılım geliştiricilerini hedef alıyor.
Bilgi çalmak ve kötü amaçlı yazılımın ek aşamalarını, özellikle de InvisibleFerret adı verilen çok aşamalı Python tabanlı bir arka kapıyı yüklemek amaçlanıyor.
InvisibleFerret arka kapısı, tuş vuruşlarını günlüğe kaydederek hassas dosyaları dışarı sızdırıyor ve saldırganların bir cihazı uzaktan yönetmesine olanak tanıyan AnyDesk aracını indiriyor. Ayrıca, kötü amaçlı yazılım kredi kartı numaralarını ve tarayıcı kimlik bilgilerini de çalıyor.
Tehdit Aktörlerinin Taktikleri, Teknikleri ve Prosedürleri (TTP’ler)
Kurbanın ZIP dosyası, yüklendikten sonra “package.json”da tanımlanan “server.js” dosyasını çalıştıran ve ardından kötü amaçlı bir JavaScript dosyası (error.js) yükleyen kötü amaçlı bir NPM paketi içeriyordu.
“Server.js” dosyası, “backend/middlewares/helpers/error.js”de bulunan dosya için bir giriş noktası görevi görerek kurbanın bilgisayarında ek kötü amaçlı eylemlere olanak tanır.
Kötü amaçlı eylem, kaydedilmiş olan tarayıcı oturum açma bilgilerinin çalınmasını; sistem verilerinin toplanması; hedeflenen tarayıcılarda kripto para cüzdanı uzantılarının listelenmesi; ve Exodus ve Solana gibi kripto para cüzdanlarından yapılandırma bilgilerinin çalınması.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
eSentire Tehdit İstihbaratı ekibi, oldukça karmaşık hale getirilmiş JavaScript dosyası error.js’nin Beavertail kötü amaçlı yazılım bileşeni olduğunu tespit etti.
JavaScript kodu yüklendikten sonra InvisibleFerret kötü amaçlı yazılım bileşenlerini bir komut ve kontrol (C2) sunucusundan indirir. Bunu takiben BeaverTail, ilk InvisibleFerret Python betiğini indirir.
Araştırmacılar, “Gözlemlenen örneğimizde BeaverTail tarafından toplam 21 kripto uzantısının hedeflendiğini de belirtmekte fayda var” dedi.
Bulgular dikkate değer ve yazılım geliştiricilerini sahte işlerle cezbeden Bulaşıcı Mülakat kampanyasının TTP’leriyle uyumlu.
Öneriler
- Güvenliği ihlal edilmiş ana bilgisayarlarda hassas dosyaların, parolaların ve anahtarların ele geçirildiğini varsayalım ve parolaları ve anahtarları değiştirmek de dahil olmak üzere gerekli adımları atın.
- Uç Nokta Algılama ve Yanıt (EDR) çözümlerinin her cihazda yüklü olduğunu doğrulayın.
- İşverenlerin, personeli tehdit ekosistemindeki yeni riskler konusunda uyarmak ve eğitmek için bir Kimlik Avı ve Güvenlik Farkındalığı Eğitimi (PSAT) programı yürütmesi gerekir.
- Şirketinizde, şirket cihazlarının uygun kullanımına ilişkin bir kurumsal politikanın mevcut olduğundan emin olun.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın