NPM endeksinde hassas ana bilgisayar ve ağ verilerini toplamaya ve tehdit aktörü tarafından kontrol edilen bir anlaşmazlık webhook’a göndermeye çalışan 60 paket keşfedilmiştir.
Socket’in tehdit araştırma ekibine göre, paketler 12 Mayıs’tan itibaren üç yayıncı hesabından NPM deposuna yüklendi.
Kötü niyetli paketlerin her biri, ‘NPM yüklemesi’ sırasında otomatik olarak yürütülen ve aşağıdaki bilgileri toplayan bir install sonrası komut dosyası içerir:
- Ana bilgisayar adı
- Dahili IP adresi
- Kullanıcı Ana Dizini
- Mevcut Çalışma Dizini
- Kullanıcı adı
- Sistem DNS sunucuları
Komut dosyası, bir analiz ortamında çalışıp çalışmadığını belirlemek amacıyla bulut sağlayıcılarıyla ilgili ana bilgisayar adlarını, DNS dizelerini tersine çevirir.
Soket, ikinci aşama yüklerin, ayrıcalık artışının veya herhangi bir kalıcı mekanizmanın dağıtımını gözlemlemedi. Ancak, toplanan veri türü göz önüne alındığında, hedeflenen ağ saldırıları tehlikesi önemlidir.
Paketler hala NPM’de mevcut
Araştırmacılar kötü niyetli paketleri bildirdi, ancak yazma sırasında hala NPM’de mevcuttu ve 3.000’lik bir kümülatif indirme sayısı gösterdiler. Yine de zaman yayınlayarak, bunların hiçbiri depoda yoktu.
Geliştiricileri bunları kullanmak için kandırmak için, kampanyanın arkasındaki tehdit oyuncusu, dizindeki meşru paketlere benzer isimler, ‘plipper-plugins’, ‘React-xTerm2’ ve ‘Hermes-Masans-Msggen,’ jenerik güven taşıyan isimler ve muhtemelen CI/CD borularını hedefleyen testlere işaret eden diğerleri kullandı.
60 kötü niyetli paketin tam listesi Socket raporunun alt bölümünde mevcuttur.
Bunlardan herhangi birini kurduysanız, bunları hemen çıkarmanız ve enfeksiyon kalıntılarını ortadan kaldırmak için tam bir sistem taraması yapmanız önerilir.
NPM’de veri silecekleri
Socket’in dün NPM’de ortaya çıkardığı bir başka Malios kampanyası, yazım hatası yoluyla meşru araçları taklit eden ancak dosyaları silebilen, verileri yozlandırabilen ve kapatabilen sekiz kötü niyetli paket içeriyordu.
React, Vue.js, Vite, Node.js ve Quill ekosistemlerini hedefleyen paketler, son iki yıldır NPM’de 6.200 indirme aldı.
Bu uzun süre kaçmak kısmen, yüklerin sabit kodlu sistem tarihlerine göre etkinleştirilmesinden kaynaklanıyordu ve çerçeve dosyalarını, yozlaşmış çekirdek JavaScript yöntemlerini ve sabotaj tarayıcı depolama mekanizmalarını aşamalı olarak yok edecek şekilde yapılandırıldı.
.jpg)
Kaynak: soket
Bunları ‘Xuxingfeng’ adı altında yayınlayan bu kampanyanın arkasındaki tehdit oyuncusu, güven oluşturmak ve tespitten kaçınmak için birkaç meşru paket listeledi.
Tehlike şimdi sert kodlanmış tarihlere dayanarak geçmiş olsa da, yazarları gelecekte silme işlevlerini yeniden tetikleyecek güncellemeler sunabildiğinden, paketlerin kaldırılması çok önemlidir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.