Soket Tehdit Araştırma Ekibi, daha önce raporlanmamış olan Xorindex adlı bir kötü amaçlı yazılım yükleyici kullanan ve Kuzey Kore siber operasyonlarında büyük bir artış işaret eden yeni bir yazılım tedarik zinciri saldırısı keşfetti.
Bu etkinlik, daha önce Haziran 2025’te hekseval yükleyiciyi içeren bulaşıcı röportaj kampanyasına dayanmaktadır.
Kuzey Kore devlet destekli aktörlere atfedilen rakipler, NPM kayıt defterine 67 kötü amaçlı paketle sızdı ve toplu olarak 17.000’den fazla indirme topladı.
Bunlardan 27 paket aktif kalır ve NPM’nin güvenlik ekibine ve hesap askıya alınmalarına derhal yayından kaldırma talepleri getirir.
Bulaşıcı Mülakat Kampanyası
Kampanya, tespitlerin gelişmiş taktikleri kullanarak yeni varyantların hızlı yüklenmesine yol açtığı kalıcı bir “mol” kalıbı sergiliyor.
Paralel olarak faaliyet gösteren Xorindex kampanyası, Haziran ve Temmuz 2025 arasında 9.000’den fazla indirme kazanırken, Hexeval 8.000’den fazla ek indirme ile devam ediyor.
Bu yükleyiciler, hassas kimlik bilgilerini ve cüzdan verilerini kötü amaçlı yazılım aşamaları zinciri aracılığıyla sunmayı amaçlayan geliştiricileri, iş arayanları ve kripto para sahiplerini hedefler.
Xor kodlu dizeleri ve dizin tabanlı gizleme için adlandırılan XorIndex yükleyici, takip komut dosyalarını kod çözmeden ve yürütmeden önce ana bilgisayar adı, kullanıcı adı, harici IP, coğrafi konum ve platform gibi ana bilgisayar meta verilerini toplayarak işlevselliği yansıtır.
İkinci aşamalı Beaverail kötü amaçlı yazılımları, sabit kodlu C2 uç noktalarından getirir ve bu da üçüncü aşamalı InvisibleFerret Backdoor’u dağıtır.
Beaverail, Metamask, Phantom ve Tronlink dahil olmak üzere yaklaşık 50 cüzdan dizinleri ve tarayıcı uzatma yolları için tarar, anahtarlıklar ve JSON tohumu verilerini gibi hassas dosyaları IP tabanlı HTTP sunucularına eksfiltrasyon için geçici bir zip dosyasına arşivler.
Bu platform-agnostik kötü amaçlı yazılım, Node.js ekosistemindeki Windows, MacOS ve Linux arasında çalışır ve yükleme teslimi için değer () aracılığıyla uzaktan kod yürütülmesini vurgular.
Kampanyanın zaman çizelgesi, en son dalgalanmada 39 yeni Hexeval paket ve 28 Xorindex varyantı ile Nisan -Temmuz 2025 arasında dağıtım dalgalarını ortaya koyuyor.
Xorindex’in teknik analizi
Xorindex’in gelişimini izlemek, prototiplerden sofistike yükleyicilere hızlı bir ilerlemeyi ortaya koymaktadır.
cronek paket.Postcss-preloader gibi erken sürümler, sadece uzaktan kod yürütülmesi için C2’ye işaretlemeye odaklanarak, şaşkınlık ve keşiften yoksundu.
JS-Log-Print gibi geçiş varyantları, Buggy ana bilgisayar profilini tanıtırken, Dev-Filterjs TextDecoder kullanarak ASCII tampon tabanlı dize obfusation ekledi.
Olgun yinelemeler, Vercel ile barındırılan /API /IPCheck yolları arasında XOR kod çözme, çok uç nokta dönüşü ve birincil ve ikincil yükler için çift değer () yollarını içerir.
Https: // soc-log gibi uç noktalar da dahil olmak üzere paylaşılan altyapı[.]Vercel[.]APP/API/ipcheck ve 144[.]217[.]86[.]88, Xorindex’i önceki bulaşıcı görüşme operasyonlarına bağlar, aktörlerin esnek tedarik zinciri saldırılarına yapılan yatırımını vurgular.
Soket raporuna göre, bu evrim, yalnızca bellek yürütme ve modüler tasarımlar gibi artan kaçış tekniklerini vurgular ve tespiti karmaşıklaştırır.
Aktörler NPM takma adlarını çeşitlendirdikçe, Beaverail gibi kötü amaçlı yazılımları yeniden kullandıkça ve DevOps ve açık kaynaklı topluluklardaki yüksek değerli bireyleri hedefledikçe savunucular devam eden tehditlerle karşı karşıya.
Öneriler, kurulum veya birleştirme sırasında kötü niyetli bağımlılıkları engellemek için Socket’in GitHub Uygulaması ve CLI gibi gerçek zamanlı tarama araçlarını, ön yükleme risk değerlendirmesi için tarayıcı uzantılarının yanı sıra içerir.
Kuzey Kore operasyonları devam ettikçe, bu finansal olarak motive edilmiş, devlet destekli müdahaleleri azaltmak için proaktif tedarik zinciri savunmaları şarttır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü amaçlı NPM paketleri | XorirIndex: 28 PKGS (örneğin, Vite-Plugin, et-audilog, kronik); Hexeval: 39 PKGS (örn., NextJS-HTTPS-HTTPS-HTTPS-HTTPS, Düğüm-Mongo Amor) |
| NPM takma adları | Xorindex: 18 takma ad (örneğin, H96452582, Devin-Ta39, Jasonharry1988); Hexeval: 29 takma ad (örn., Denniswinter, Jinping, Oleeksandr522) |
| E -posta adresleri | Xorindex: 15 e -posta (örn., H96452582@gmail[.]com, devin.s@gedu[.]demo[.]39.[.]com); Hexeval: 29 e -posta (örn., Denniswinter727@Outlook[.]com, jinping0821@outlook[.]com) |
| C2 uç noktaları | https: // soc-log[.]Vercel[.]APP/API/ipcheck, https: // 1215[.]Vercel[.]APP/API/ipcheck, https: // log-writter[.]Vercel[.]APP/API/ipcheck, https: // process-log-update[.]Vercel[.]APP/API/ipcheck, https: // api[.]noint[.]IO/1F901A22DAEA7694FACE, 144[.]217[.]86[.]88 |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.