Fortinet’in AI odaklı tehdit istihbarat kolu Fortiguard Labs, geliştiricilerden ve hedef PayPal kullanıcılarından hassas bilgileri çalmak için tasarlanmış bir dizi kötü amaçlı NPM paketini ortaya çıkardı.
5 Mart ve 14 Mart 2025 arasında tespit edilen bu paketler, aynı birey olduğuna inanılan “Tommyboy_H1” ve “Tommyboy_H2” takma adları kullanılarak bir tehdit oyuncusu tarafından yayınlandı.
Gibi isimler de dahil olmak üzere kötü niyetli paketler oauth2-paypal Ve ButtonFactoryServ-PaypalPaypal’ın güvenilir markasını geliştiricileri yüklemeye kandırmak için kullanın.
.png
)
PayPal ile ilgili meşru işlevselliği taklit ederek, paketler yanlış bir meşruiyet duygusu yaratarak kaçınma tespiti şanslarını artırır.
Yüklendikten sonra, kullanıcı adları, ana bilgisayar adları ve dizin yolları gibi sistem verilerini kullanıcı farkındalığı olmadan otomatik olarak çalıştıran bir ön tester kancası dağıtırlar.
Fortiguard Labs’ın analizi, komut dosyasının çalınan verileri onaltılık formata kodladığını, dizin yollarını bölerek ve keserek gizlediğini ve dinamik olarak oluşturulan URL’ler aracılığıyla saldırgan kontrollü sunuculara gönderdiğini ortaya koyuyor.
Bu gizleme, güvenlik araçlarının eksfiltrasyonu tespit etmesini veya engellemesini zorlaştırır. Hasat edilen bilgiler, PayPal hesaplarından ödün vermek, daha fazla saldırı yakıt veya karanlık ağda satılmak için kullanılabilir.
Temel bulgular
Kampanyanın ölçeği dikkat çekicidir ve tehdit oyuncusu kısa bir zaman diliminde çok sayıda paket yayınlar. Örnekler arasında OAUTH2-PAYPAL V699.0.0– ButtonFactoryServ-Paypal v3.50.0Ve tommyboytesting Varyantlar, hepsi aynı kötü amaçlı kod sergiliyor.
Paketler, açık kaynaklı ekosistemin güven modelinden yararlanarak küçük ve orta ölçekli işletmeleri ve geliştiricileri hedefliyor.
Fortiguard Antivirus, kötü amaçlı dosyaları şöyle işaretledi. Bash/tommyboy.a! Trpaketleri kapsayan:
- BankingBundleserv_1.20.0
- ButtonFactoryServ-Paypal_3.50.0 Ve 3.99.0
- oauth2-paypal (Birden çok sürüm, örneğin 0.6.0, 699.0.0)
- PulansianCeadServ-Paypal_2.1.0
Tommyboy_H1 ve Tommyboy_H2’nin yazarları muhtemelen aynı kişidir ve kısa sürede birden fazla kötü amaçlı paket yayınlar. Fortinet, aynı yazarın bu paketleri PayPal kullanıcılarını hedeflemek için oluşturduğundan şüpheleniyoruz.
Fortiguard Labs organizasyonları ve geliştiricileri şunlara çağırıyor:
- “PayPal” gibi şüpheli isimleri olanlardan kaçınarak NPM paketlerini doğrulayın (örneğin, oauth2-paypal).
- Bilinmeyen sunuculara beklenmedik bağlantılar için ağ günlüklerini izleyin.
- Tespit edilen kötü amaçlı paketleri kaldırın, tehlikeye atılan kimlik bilgilerini değiştirin ve ek tehditler için tarama sistemleri.
- Fortinet’in en son korumalarından yararlanmak için güvenlik yazılımının güncellendiğinden emin olun.
Uzlaşma göstergeleri
| Dosya | Hash (SHA256) | Tespit |
| BankingBundleserv_1.20.0 | 796dee716a6d6b49a9d00e541056babe34fd2fcbcea0380491de4b792afba | Bash/tommyboy.a! Tr |
| ButtonFactoryServ-Paypal_3.50.0 | 18e45358462363966888888e17f85d73842f460b34c683e58c728149f | Bash/tommyboy.a! Tr |
| ButtonFactoryServ-PayPal_3.99.0 | 88BD580AA51129E4E5FA69E148131874C862015E7C51D59497E11F2DB2D72C6 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.1 | 23664DECF3C2F28A3F552DC98D9001792617969713CCCDC9F5FD3178D76DBF | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.2 | ba63fbff6f7bab000bc1b1bff92319415328cea23872450ACAAC6A669132779 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.5 | F | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.6 | 815bfc4fb5bddfff1f9ca1b12ae2a1b0e37736a93ea9babe858747096ad9ce671 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.7 | D21ae84e104a305b5aebee8e6fbb4837976ef26935dac90372637f913ef58154 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.8 | 0c006540abcb768cad80a1a8ced926fa58f10cf9eb0be16c4185550df83bff82 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.9 | 847E684A228292DC905205D735ED9458E10105FE3B387C4E9374D6AFD783 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.10 | ED6A350C4B1BAA6F098293C328D0A62D35AAFB4AB62B93E6F3A611F06BE9AA29 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.11 | 12348037ab54d2c2067640105b568344577ae1d20fd52551a5df9327692103 | Bash/tommyboy.a! Tr |
| TommyboyTesting_1.0.12 | 3710742057E470E8882A84412721ED19652E3F1397AF21A937BAD27D75B6F96 | Bash/tommyboy.a! Tr |
| PulansianCeadServ-Paypal_2.1.0 | DD1A177126D48072381DB98AF74C964100C8EF2E43286F3A3111461251A164C | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_0.6.0 | 0D8C5BB69C567E3949CC6E087610D79C886D9140D0DA88C92D3C63FB7A3B9 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_1.6.0 | B6bc001bc9b4171a27fb2a485cb3e3d8f23bc1ee6b4a03bcfbba63b7d208477 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_2.6.0 | 2c7bf841a659fa1d8105d26f664bc3a7b99e0c071b7f52950346c40f778 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_4.8.0 | Cbbbe1d5a7d4a721c61b9c3b8b6a8e5d6550f02c70e708698d8165d92e154383 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_7.5.0 | 25034C2542757K93CB6008479A5BFC594F9E92F66249F6FB862447A18847BA7 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_10.0.0 | 148D3552DB2ACF469C84E2688936F06167C6CF455248E08D703282BC0556FB8 | Bash/tommyboy.a! Tr |
| OAUTH2-PAYPAL_699.0.0 | 7186674C208242B8E6FDF7B0F4E7539218590618FEE517AA264E8446247D34440 | Bash/tommyboy.a! Tr |
| PaylaşımPipformService-Paypal_1.20.0 | 7A48DB17A02E94C97A329CC1A57877D8B4FB74221BDB22202369D6590917FD0 | Bash/tommyboy.a! Tr |
| Userbridge-Paypal_1.20.0 | 7A48DB17A02E94C97A329CC1A57877D8B4FB74221BDB22202369D6590917FD0 | Bash/tommyboy.a! Tr |
| Userrelationship-Paypal_1.20.0 | CA7DC2B0856F89E71CE9DA6F179B34C8879456B5DFDA0B5BD3F0FD73BB1C50 | Bash/tommyboy.a! Tr |
Bu haberi ilginç bul! Anında güvenlik haberleri güncellemeleri almak için bizi Google News, LinkedIn ve X’te takip edin!