Haftalık yaklaşık 2,8 milyon indirime sahip olan popüler NPM paketi ‘IS’, geçen Cuma günü ilk kez açıklanan bir kimlik avı çabasının sofistike bir şekilde yükselişinde tehdit aktörleri tarafından devralındı.
Saldırı, NPM’nin [email protected] adresini taklit eden e-postalarla başladı ve geliştiricileri yazım hatası bir alana yönlendirdi, npnjs.com, kimlik bilgilerini tokenize bir giriş bağlantısı aracılığıyla hasat etmek için tasarlanmış meşru NPMJS.com sitesinin neredeyse özdeş bir vekilini.
Bu yarı hedefli operasyon, on milyonlarca kolektif indirme ile paketleri denetleyenler de dahil olmak üzere yüksek profilli bakımlara odaklandı.
Kimlik avı e -postaları, reaksiyon küratörü Sébastien Lorber tarafından vurgulandığı gibi, NPMJS.org’da DMARC ve SPF kayıtları nedeniyle bazı filtreleri atladı ve sahte mesajların gelen kutulara ulaşmasına ve saldırganların NPM tokenlerini çalmasına izin verdi.
Bir kez tehlikeye atıldıktan sonra, bu jetonlar, geliştirici iş akışlarında ve CI/CD boru hatlarındaki bağımlılık çözünürlüğü yoluyla kötü amaçlı yazılım dağılımını otomatikleştirerek birden çok pakette kötü amaçlı sürümlerin yayınlanmasını kolaylaştırdı.
Teşvik Edilen Kimlik Yardım Kampanyası
Kampanyanın paket tutma pivotu, daha geniş bir tedarik zinciri saldırısının altını çiziyor ve saldırganlar güvenilir kütüphanelere yükü yerleştiriyor.
Özellikle, tür kontrol ve doğrulama için yardımcı program işlevleri sağlayan ‘IS’ paketi 3.3.1 ve 5.0.0 sürümlerinde bir platform JavaScript kötü amaçlı yazılım yükleyicisi içerecek şekilde değiştirildi.
Socket’in AI tarayıcısı tarafından algılanan bu yükleyici, disk tabanlı adli tıptan kaçan ‘yeni işlev’ aracılığıyla bellekte yükleri yeniden yapılandırmak ve yürütmek için özel bir 94 karakterli alfabe kod çözücü ile ağır şaşkınlık kullanır.
Node.js ortamlarında (macOS, Linux veya Windows üzerindeki sürüm 12+) etkinleştirme üzerine, ‘Process.env’den tüm ortam değişkenlerini yakalarken, ana bilgisayar adı, platform ve CPU mimarisi gibi ayrıntılar için’ OS ‘modülünü sorgulayarak ana bilgisayarı parmak izler.
Daha sonra, tehdit aktör kontrollü bir uç noktaya bir websocket bağlantısı kurmak, verileri püskürtmek ve gerçek zamanlı uzaktan kod yürütmeyi etkinleştirmek için ‘WS’ kitaplığını dinamik olarak içe aktarır.
Gelen herhangi bir WebSocket mesajı yürütülebilir JavaScript olarak ele alınır ve saldırganlara tam dosya sistemi ve ana bilgisayar işlemine eşdeğer ağ ayrıcalıklarına sahip etkileşimli bir kabuk verir.
Bu, .npmrc dosyaları, GIT uzaktan kumandaları ve potansiyel olarak SSH tuşları gibi hassas eserlerin hasat edilmesine izin verir ve paketin index.js dosyasını kendi kendine yazarın.
Kötü amaçlı yazılım analizi
Humpty’nin RE blogu tarafından ters mühendislik, Eslint-Config-Prettier gibi ilgili paketlerde gizlenmiş olan tamamlayıcı pencerelere özgü yük yükü, çöpçü olarak adlandırıldı.
Bu DLL (düğüm-gyp.dll), krom uzantıları ve oturum önbellekleri dahil olmak üzere tarayıcı verilerini çalmak için anti-analiz tekniklerini, dolaylı syscall’ları ve şifreli C2 iletişimini kullanır.
Hedeflenen Windows eksfiltrasyonu için geniş uyumluluk ve DLL için çok ödemeli yaklaşım JavaScript, enfeksiyon erişimini en üst düzeye çıkarır ve çöpçü platform sınırlamalarıyla zıttır.
Ek kaçırılan paketler arasında ESlint-Plugin-Prettier, Synckit, @PKGR/Core, Napi-PostInstall ve GOT-Fetch, benzer yükleyiciler veya infostalerlar sunan kötü amaçlı sürümler bulunur.
Rapora göre, Hacker News Raporlama Chrome Güvenlik bayrağı kurcalaması, potansiyel kimlik bilgisi uzlaşmaları ve tam SSD değiştirmeler ve işletim sistemi yeniden yüklemeleri gibi aşırı iyileştirme ihtiyacı üzerindeki etkilenen geliştiriciler tarafından kanıtlandığı gibi etki şiddetli olmuştur.
Kör bağımlılık güncellemeleri, sistemlere müdahale ederek ve tuşları püskürterek basit yazılımların basit geri alımların ötesinde devam ettiği kanıtlanmış risklidir.
Jordan Harband gibi bakımcılar, bir ortak-bakımcının hesabının hacizinden kaynaklandığını, muhtemelen aynı kimlik avı vektörü aracılığıyla NPM’nin bildirim boşluklarını vurgulayarak ‘uzlaştığını doğruladılar.
Savunuculardan iki faktörlü kimlik doğrulamasını etkinleştirmeleri, kapsamlı jetonlar kullanmaları ve 70+ tedarik zinciri risk göstergesinde gerçek zamanlı tehdit algılaması için Socket’in GitHub Uygulaması veya Safe NPM CLI gibi araçlar kullanmaları istenir.
Uzlaşma Göstergeleri (IOCS)
| Kötü niyetli paket | Uzlaşmış versiyonlar |
|---|---|
| Eslint-config-prettier | 8.10.1, 9.1.1, 10.1.6, 10.1.7 |
| Eslint-plugin-cettier | 4.2.2, 4.2.3 |
| senkronize etmek | 0.11.9 |
| @pkgr/çekirdek | 0.2.8 |
| Mahkumlar-Postinstall | 0.3.1 |
| Gitmek | 5.1.11, 5.1.12 |
| ki | 3.3.1, 5.0.0 |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!