YÖNETİCİ ÖZETİ
- ReversingLabs araştırmacıları, NPM platformunu kullanan yeni bir yazım hatası kampanyası keşfettiler.
- Araştırmacılar, node-hide-console-windows adı verilen kötü amaçlı bir NPM paketinin r77 rootkit’ini masum kullanıcılara dağıttığını gözlemledi.
- Typosquatting, siber suçluların, orijinal kuruluşun adıyla aynı yazımı kullanarak alan adları ve sosyal medya hesapları oluşturduğu aldatıcı bir yöntemdir.
- Kötü amaçlı NPM paketinin 10 versiyonu keşfedildi.
- Bu siber güvenlik saldırısında dolandırıcılar, kullanıcıları kandırmak için meşru paket node-hide-console-window’u istismar etti.
ReversingLabs’ın siber güvenlik araştırmacıları bir gerçeği ortaya çıkardı kötü niyetli NPM paketi (node-hide-console-windows), node-hide-console-window adı verilen meşru bir NPM paketine benzemek için yazım hatası kullanılarak oluşturulmuştur.
Görüldüğü gibi saldırganlar kötü amaçlı paketin başlığına, onu orijinalinden ayırmak için bir ‘s’ eklemişler. İlgili kısım, bu kötü amaçlı paketin 700’den fazla indirilmiş olmasıdır. Bu kampanya Ağustos 2023’ün sonunda başladı.
ReversingLabs, bir kullanıcı bu kötü amaçlı paketi yüklediğinde, açık kaynağı yerleştiren bir Discord botunun indirildiğini ortaya çıkardı r77 rootkit’i. Bu rootkit, tespit edilmemek için kendisini işletim sistemi içinde gizler ve saldırganın, kurbanın cihazının tam kontrolünü ele geçirmesine olanak tanır.
Araştırmacılar index.js adlı dosyanın getirdiği yürütülebilir dosyayı incelediler ve bunun DiscordRAT 2.0 olduğu ortaya çıktı. Kötü amaçlı NPM paketinin on sürümünün tamamı aynı DiscordRAT2.0 yürütülebilir dosyasını indirdi. Ancak son iki sürüm, görsel kod güncellemesi olarak gizlenen ve index.js tarafından getirilen ek bir kötü amaçlı veri içeriyordu.
Bilginize, Anlaşmazlık 2.0 eğitim amaçlı tanıtılan bir Discord Uzaktan Yönetim Aracıdır ancak açık kaynaklı bir kötü amaçlı yazılımdır. Tehdit aktörlerinin, botu Discord geliştirici portalına kaydettirmesi ve dağıtmadan önce Discord sunucusuna veya loncaya eklemesi gerekir. Lonca kimliği, DiscordRAT 2.0 yürütülebilir dosyasına eklenir ve kimlik avı e-posta ekleri veya halka açık depolarda bulunan paketler aracılığıyla kurbanlara iletilir.
Daha ayrıntılı incelemeler, kötü amaçlı yazılıma yönelik Discord loncasının, kötü amaçlı NPM paketinin ilk sürümünün yayınlanmasından sadece 10 gün önce, 15 Ağustos’ta başlatıldığını ortaya çıkardı. Yürütülebilir dosya, her kurban için bağlı Discord sunucusunda bir kanal oluşturur ve ilk yükü virüslü ana bilgisayara gönderir.
Bot, buradan saldırgandan ek komutlar alır ve aşağıdaki gibi bir dizi görevi gerçekleştirebilir: Windows Defender’ı devre dışı bırakma, kurbanın faresini ve klavyesini engellemek, cihazın mavi ekranını görüntülemek ve işlemleri sonlandırmak. Kolaylaştırdığı uzun bir komut listesi var ancak en önemlisi, virüs bulaşmış cihazda r77 rootkit’i başlatmak için yakın zamanda DiscordRAT 2.0’a eklenen ‘!rootkit’ komutudur.
Bu açık kaynaklı, dosyasız ring 3 araç seti kapsamlı belgeler içerir ve dosyaları/işlemleri gizleyebilir. Bu rootkit, tespit edilmemek için kendisini işletim sistemi içinde gizler ve saldırganın, kurbanın cihazının tam kontrolünü ele geçirmesine olanak tanır.
Araştırmacıların işlevselliği kolaylaştıran kötü amaçlı bir NPM paketini ilk kez tespit ettiğini belirtmekte fayda var. Bu, siber suçluların kötü amaçlı yazılım dağıtmak için açık kaynak projelerinden yararlanmayı tercih etmesi nedeniyle açık kaynak projelerinin güvenliğinin sağlanması gerektiğine işaret ediyor.
Saldırganlar, geliştiricilerin kötü amaçlı paketi uygulamalarına eklemesini sağlamak için meşru paketin sayfasına benzer bir NPM sayfası oluşturmak gibi başka taktikler kullandı. Üstelik tıpkı orijinal pakette olduğu gibi kötü amaçlı pakette de yayınlanmış 10 sürüm yer alıyordu.
onların Blog yazısı, araştırmacılar NPM paket kayıt platformundan yararlanan kampanyalarda bir artış olduğunu fark ettiler. Ağustos 2023’te ReversingLabs araştırmacıları, kripto para birimi sağlayıcılarını hedef alan bir kampanyayla bağlantılı birden fazla kötü amaçlı NPM paketi keşfetti.
Temmuz 2023’te, sahte Microsoft.com oturum açma formları aracılığıyla hassas kullanıcı verilerini çalan ve istemeden NPM paketleri içeren uygulamalara kimlik bilgisi çalan komut dosyaları yerleştiren kötü amaçlı kodlarla geliştiricileri ve son kullanıcıları hedef alan NPM ile ilgili başka bir kampanya keşfedildi.
Bilginize, orijinal ambalaj (düğüm-gizleme-konsol-pencere) bir uygulamanın konsol penceresi görünürlüğünü değiştirmek için kullanılır.
Kendinizi bunlara karşı korumak için yazım hatası saldırılarıOrijinal siteyi/depoyu ziyaret edebilmeniz için, çevrimiçi adresleri/paketleri yazarken veya ararken adresleri kontrol etmeniz önemlidir.
Ayrıca kurulumdan önce paketin adını ve açıklamasını yakından inceleyin. Kötü amaçlı paketleri zamanında tespit etmek/engellemek için güvenilir bir güvenlik çözümü yükleyin. Cihazınıza r77 rootkit bulaştığından şüpheleniyorsanız, güvenilir bir antivirüs kullanarak hızlı bir şekilde sistem dolandırıcılığı yapın ve özellikle tüm hesapların şifrelerini değiştirin. bankacılık şifreleri.
İLGİLİ MAKALELER
- Luna Grabber Kötü Amaçlı Yazılımı, npm Paketleri Aracılığıyla Roblox Geliştiricilerini Etkiliyor
- 6 resmi Python deposu kripto madencilik kötü amaçlı yazılımlarıyla boğuşuyor
- CISA, JavaScript kitaplığının NPM paketinin truva atı haline getirilmiş sürümleri konusunda uyardı
- VMCONNECT: Yaygın Python Araçlarını Taklit Eden Kötü Amaçlı PyPI Paketi
- Kötü Amaçlı Yer İşaretleri ve JavaScript Tarafından Hedeflenen Kripto Discord Toplulukları