Kötü niyetli bir Rust sandığı (paket) adlı evm birimleriŞüphelenmeyen geliştiricilerden kripto para birimini çalmayı amaçlayan .
Başka bir paket (uniswap-utils) aynı yazar tarafından iyi huylu gibi görünse de, şunlara bağlıdır: evm birimleri ve onu dosyalarından birinde çağırır. Crates.io ekibi, 7441 kez indirildikten sonra bu paketin de kaldırıldığını paylaştı. Paketlerin yazarının hesabı devre dışı bırakıldı.
Paketlerin gizli eylemleri
İki kötü amaçlı paket, Soket tehdit araştırmacıları tarafından işaretlendi ve analiz edildi ve şu sonuca varıldı: evm birimleri Bir EVM sürüm yardımcısının kimliğine büründü (yani, geliştiricilerin akıllı sözleşmeleri derlerken veya analiz ederken Ethereum Sanal Makinesinin farklı sürümlerini seçmesine, yönetmesine veya bunlar hakkında mantık yürütmesine yardımcı olan bir araç).
Soket tehdit araştırmacısı Olivia Brown, “Paket, Ethereum sürüm numarasını döndürüyor gibi görünüyor, bu nedenle kurbanın pek de aklı başında değil” dedi.
Ancak arka planda paket ayrıca: içinde kodlanmış bir URL’nin kodunu çözer, temel işletim sistemini (Linux, macOS veya Windows) kontrol eder ve işletim sistemine özgü bir komut dosyasını/dosyayı sistemin geçici klasörüne indirip kaydeder ve çalıştırır.
Brown, “Pencere yok, çıktı yok, yazdırılan kayıt yok, dolayısıyla kurban hiçbir şey göremiyor” diye belirtiyor. Komut dosyası kabini herhangi bir komutu çalıştırır veya sonraki bir veriyi yükleyerek “sessiz ikinci aşama enfeksiyona olanak tanır.”
Kötü amaçlı yazılım, betiği Windows makinelerde çalıştırmadan önce Çinli Qihoo 360 şirketinin 360 Total Security antivirüsünün varlığını kontrol ediyor. Varlığına veya yokluğuna bağlı olarak kötü amaçlı yazılım, betiği doğrudan Powershell’i arayarak veya gizli bir Powershell betiği çalıştıran bir VBScript aracılığıyla başlatıyor.
Muhtemel hedefler
Brown, “Qihoo 360’a bu odaklanma nadir, açık ve Çin odaklı bir hedefleme göstergesidir çünkü lider bir Çinli internet şirketidir. Asya, perakende kripto para birimi faaliyeti için en büyük küresel pazarlardan biri olduğundan kripto hırsızlığı profiline uyuyor” dedi.
Buna, iki kasanın bir EVM yardımcı programını ve bir Uniswap yardımcı kütüphanesini (birkaç zincirdeki Uniswap havuz adresleriyle çalışmak için) taklit ettiği gerçeğini de ekleyince hedefler açık görünüyor: merkezi olmayan uygulamalar üzerinde çalışan geliştiriciler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!