Soket araştırmacıları tarafından yakın zamanda yapılan bir keşifte, Postcss-optimizer adlı kötü niyetli bir NPM paketi, Kuzey Kore devlet destekli grup Lazarus Advanced Kalıcı Tehdit (APT) tarafından öncülük eden bir operasyon olarak tanımlanmıştır.
Geçmiş kampanyalara bağlı ve kod düzeyinde benzerlikler kullanan paket, Lazarus’un bulaşıcı görüşme alt grubuyla bağlantılıdır ve yazılım geliştiricilerini gelişmiş kötü amaçlı yazılım dağıtım mekanizmaları aracılığıyla kötü bir şekilde hedefler.
Meşru ve son derece popüler postcss kütüphanesi (16 milyardan fazla indirme ile) olarak görünen kötü niyetli paket, 477 kez kötü niyetli bir şekilde indirildi.
Kurulduktan sonra, bir Infostealer ve kötü amaçlı yazılım yükleyicisi olarak ikili amaclara hizmet veren Beaverail kötü amaçlı yazılımları dağıtır.
İkinci aşamalı yükünün, Lazarus’un yazılım tedarik zinciri sömürü taktikleri ile uyumlu güçlü bir arka kapı olan InvisibleFerret olduğundan şüpheleniliyor.
Bugün itibariyle paket, NPM deposunda mevcuttur, ancak soket kaldırılmasını talep etmiştir.
Sofistike teknikler tedarik zincirlerinden yararlanır
“Postcss-Optimizer” paketi, orijinal PostCSS kütüphanesini aldatıcı bir NPM kayıt defteri kullanıcı takma adıyla taklit eder.
postcss NPM kayıt defterinde paket.42. Üniteden araştırmacılar, daha önce 2022’de benzer saldırıları ortaya çıkardılar ve grup, geliştiricileri kötü niyetli NPM paketlerini indirmeye teşvik etmek için evrelenmiş görüşme süreçlerini kullandı.
Kurulum üzerine, bu paketler keşif ve kalıcılık kuruluşu ile başlayarak ve sonunda verileri püskürtme veya ikincil yüklerin dağıtılmasıyla başlayarak aşamalı kötü amaçlı yazılım saldırıları yürütür.
Bu kampanya ile ilişkili Beaverail kötü amaçlı yazılım, statik analizden kaçmak için değişken yeniden adlandırma ve kontrol akışı düzleştirme gibi gizleme tekniklerini kullanır.
Etkin yazılım etkinleştirildikten sonra, Windows, MacOS ve Linux üzerindeki sistemleri hedefler.
Kimlik bilgileri, tarayıcı çerezleri ve kripto para birimi cüzdan dosyaları dahil olmak üzere hassas verileri toplar ve bunları sabit kodlu bir komut ve kontrol (C2) sunucusuna gönderir.
Ayrıca, Beaverail, kayıt defteri anahtar manipülasyonu veya başlangıç komut dosyası enjeksiyonları yoluyla uzun vadeli kalıcılığı kolaylaştırır ve düzenli olarak ek yükler getirir ve yürütür.
Finansal hedefleme
Kötü amaçlı yazılımın ayrıntılı bir analizi, özellikle kripto para cüzdanlarını ve finansal kimlik bilgilerini hedefleyen veri hırsızlığı üzerine odaklandığını ortaya koydu.
Metamask ve Phantom gibi cüzdanlarla ilişkili tarayıcı uzantıları için kötü amaçlı yazılım taramaları, aynı zamanda Solana cüzdan anahtarlarını ve macOS giriş anahtarlık verilerini de ekler.
Kullanıcı dizinlerini yerel olarak saklanan kimlik bilgileri için sistematik olarak arar ve çalınan verileri HTTP Post isteklerini kullanarak C2 altyapısına iletir.
Kod ayrıca, ağ kısıtlamalarına karşı esneklik sağlayan Curl gibi alternatif yöntemler kullanarak ek yükler indirmek için bir geri dönüş mekanizması içerir.
Bu yetenekler, Lazarus’un finansal hırsızlık tercihiyle uyumlu olarak daha geniş casusluk hedefleri ile uyumludur.
Bu olay, kötü amaçlı yazılım dağıtımı için açık kaynaklı ekosistemlerden yararlanan APT gruplarının ortaya koyduğu kalıcı tehdidin altını çizmektedir.
Kuruluşlar, yazılım tedarik zincirlerini güvence altına almak için sağlam önlemler almalıdır.
Otomatik bağımlılık denetimleri, davranış tabanlı analiz araçları ve şüpheli NPM paketleri için gerçek zamanlı izleme gibi proaktif teknikler riskleri azaltmaya yardımcı olabilir.
Soket GitHub entegrasyonu ve CLI gibi araçlar, konuşlandırmadan önce açık kaynak paketlerinde anormallikleri işaretleyerek savunma katmanları ekler.
Postcss-Optimer kampanyası, kötü niyetli aktörlerin geliştirici güvenini ve sistemlere sızmak için açık kaynaklı araçlardan nasıl yararlandıklarına dair kesin bir hatırlatma görevi görüyor.
Dikkat, gelişmiş güvenlik araçları ile birleştiğinde, bu tür sofistike yazılım tedarik zinciri tehditlerine karşı koymak için kritik öneme sahiptir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene