2021’deki saldırıya çarpıcı bir paralellik gösteren bir grup araştırmacı, npm deposunda Roblox API kullanan geliştiricileri hedef alan kötü amaçlı paketlerin yeniden ortaya çıktığını ortaya çıkardı.
Bu kötü amaçlı paketler, açık kaynaklı, bilgi çalan bir kötü amaçlı yazılım olan kötü şöhretli Luna Grabber’ı dağıtıyor ve yazılım tedarik zinciri güvenliği konusunda tehlike işaretlerini yükselten bir kampanyaya başka bir gelişmişlik katmanı daha ekliyor.
Hayalet Saldırı:
Ağustos ayının başlangıcından bu yana ReversingLabs araştırmacıları, npm’nin halka açık deposunda bir düzineden fazla kötü niyetli paket tespit etti.
Bu paketler, geliştiricilerin Roblox oyun platformuyla etkileşimleri komut dosyası olarak kullanmak için kullandığı bir Node.js Roblox API sarmalayıcısı olan saygın ‘noblox.js’yi taklit ettiğinden, 2021 kampanyasıyla dikkate değer bir benzerlik ortaya çıkıyor.
Amaç, geliştiricileri, müthiş bir bilgi hırsızlığı yapan kötü amaçlı yazılım olan Luna Grabber’ı barındıran riskli paketleri indirmeleri ve çalıştırmaları konusunda kandırmaktır.
Bu kampanyanın odak noktası, geliştiricilerin Roblox oyun platformu için komut dosyaları oluşturması etrafında dönüyor.
Orijinal ‘noblox.js’ paketi, Roblox ile etkileşimleri geliştiren JavaScript komut dosyalarının hazırlanmasına yardımcı olarak kullanıcı tanıtımı ve toplulukları yönetme gibi etkinlikleri mümkün kılar.
ReversingLabs tarafından keşfedilen sahte paketler, meşru ‘noblox.js’deki kodu kopyalıyor ancak kötü amaçlı bilgi çalma işlevleri içeriyor.
Kötü amaçlı yazılım npm Paketleri
Geçmişteki bir örneği hatırlatacak olursak, bu saldırı taktiği tamamen yeni değil. 2021’de Sonatype, kötü amaçlı npm paketlerinin yazım hatalarından yararlanarak ‘noblox.js’ gibi göründüğü benzer bir kampanyayı ortaya çıkardı.
Çağdaş benzerleri gibi, bu kötü niyetli paketler de meşru kodu kopyaladı ve kötü amaçlı bir kurulum sonrası komut dosyası taşıdı.
Sonuç, fidye yazılımının yayılması oldu ve şüphelenmeyen geliştiricileri riske attı.
Karmaşık Dans:
Son kampanya 2021 modelini yansıtsa da modelin karmaşıklığını daha da artırıyor.
‘noblox.js-vps’ gibi kötü amaçlı paketler, orijinal ‘noblox.js’yi ustaca taklit eder, hatta güvenilirlik sağlamak için meşru npm sayfaları bile oluşturur.
Ancak yem, kurulum sonrası aşamadadır; yüklendikten sonra ayrı bir dosya olan ‘postinstall.js’, kötü amaçlı yükü barındırır.
‘nin belirgin evriminoblox.js-vps‘ paketi yakından incelendiğinde ortaya çıkıyor.
İlk sürümler ilkel komut dosyaları içeriyordu, sonraki yinelemeler ise daha karmaşık davranışlar sergiledi.
Luna Grabber’ın gücünden yararlanan, PyInstaller tarafından derlenen kötü amaçlı bir yürütülebilir dosyayla doruğa ulaşılır.
Bu kötü amaçlı yazılım, yerel web tarayıcılarından, Discord uygulamalarından ve sistem yapılandırmalarından bilgileri temizler.
Luna Grabber’ın Başucu Kitabı:
Tak-çalıştır kötü amaçlı yazılım deneyimi sunan Luna Grabber, kötü niyetli aktörlerin tercih ettiği silah olarak ortaya çıkıyor.
“Luna Grabber son derece özelleştirilebilir ve GitHub sayfasında kötü amaçlı bir yürütülebilir dosyanın nasıl derleneceğine dair ayrıntılı talimatlar var”
ReversingLabs’ın araştırması, ikinci aşama betiğin her yinelemesinin aynı üçüncü aşama çalıştırılabilir yükünü indirdiğini ortaya koyuyor.
PyInstaller tarafından derlenen bu yürütülebilir dosya, parçalara ayrıldığında Luna Grabber’ın özelleştirilmiş bir bükülme ile hassas verileri çalmak için tasarlanmış bir tezahürüdür.
Çıkarımlar ve Ötesi:
Bu spesifik kampanyanın etkisi sınırlı olsa da, açık kaynak kodlu depoların doğasında bulunan güvenlik açığının altını çiziyor.
Tersine çevirme laboratuvarları, bunun sınırlı olarak değerlendirilen üç farklı kötü amaçlı paketin 963 indirilmesine etkisi olduğunu söylüyor.
paket ismi | indirme_numarası |
noblox.js-vps | 585 |
noblox.js-güvenli | 243 |
noblox.js-ssh | 135 |
Kötü amaçlı paketlerin güvenilir muadillerinin adı altında tekrarlanması, geliştiricilerin gözden kaçırabilecekleri risklerle karşı karşıya kalmasına neden olur.
Sağlam tedarik zinciri güvenliği uygulamalarının önemini vurgulayarak kuruluşları projeleri için paket seçerken son derece dikkatli olmaya teşvik eder.
Bizi GoogleNews ve Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun. heyecanve Facebook.