Bilinmeyen tehdit aktörlerinin, “karmaşık ve kalıcı” bir tedarik zinciri saldırısı örneği olarak npm, GitHub ve jsDelivr’de jQuery’nin truva atı haline getirilmiş sürümlerini yaydığı tespit edildi.
Phylum, geçen hafta yayınlanan bir analizde, “Bu saldırı, paketler arasındaki yüksek değişkenlik nedeniyle öne çıkıyor” dedi.
“Saldırgan, kötü amaçlı yazılımı jQuery’nin nadiren kullanılan ‘end’ fonksiyonuna ustaca gizlemiş. Bu fonksiyon, animasyon yardımcı programlarındaki daha popüler ‘fadeTo’ fonksiyonu tarafından dahili olarak çağrılıyor.”
Kampanyaya 68’e kadar paket bağlandı. Bunlar 26 Mayıs’tan 23 Haziran 2024’e kadar npm kayıt defterine cdnjquery, footersicons, jquertyi, jqueryxxx, logoo ve sytlesheets gibi isimler kullanılarak yayımlandı.
Çeşitli hesaplardan yayınlanan paketlerin çokluğu, adlandırma kurallarındaki farklılıklar, kişisel dosyaların eklenmesi ve yüklendikleri uzun zaman dilimi nedeniyle, sahte paketlerin her birinin elle derlenip yayınlandığı yönünde kanıtlar bulunmaktadır.
Bu, saldırganların paketlerin oluşturulması ve yayınlanmasında otomasyon unsurunu vurgulayan önceden tanımlanmış bir modeli izleme eğiliminde olduğu diğer yaygın olarak gözlemlenen yöntemlerden farklıdır.
Phylum’a göre kötü amaçlı değişiklikler, tehdit aktörünün web sitesi form verilerini uzak bir URL’ye sızdırmasına olanak tanıyan “end” adlı bir işlevde tanıtıldı.
Daha detaylı inceleme, trojanlanmış jQuery dosyasının “indexsc” adlı bir hesapla ilişkili bir GitHub deposunda barındırıldığını buldu. Aynı depoda ayrıca, kütüphanenin değiştirilmiş sürümüne işaret eden bir betik içeren JavaScript dosyaları da mevcut.
Phylum, “jsDelivr’in, CDN’ye açıkça herhangi bir şey yüklemeye gerek kalmadan, bu GitHub URL’lerini otomatik olarak oluşturduğunu belirtmekte fayda var” dedi.
“Bu muhtemelen saldırganın kaynağı daha meşru gösterme veya kodu doğrudan GitHub’dan yüklemek yerine jsDelivr’i kullanarak güvenlik duvarlarını aşma girişimidir.”
Gelişme, Datadog’un Python Paket Endeksi (PyPI) deposunda, CPU mimarisine bağlı olarak saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama ikili dosyayı indirme yeteneğine sahip bir dizi paket belirlemesinin ardından geldi.