Npm paket kayıt defterinde gizlenmiş, açık kaynaklı bir rootkit dağıtan yeni bir aldatıcı paket ortaya çıkarıldı. r77Bu, ilk kez hileli bir paketin rootkit işlevselliği sağladığı anlamına geliyor.
Söz konusu paket, yazım hatası kampanyasının bir örneği olan meşru npm paketi node-hide-console-window’u taklit eden node-hide-console-windows’tur. Kaldırılmadan önce son iki ayda 704 kez indirildi.
Etkinliği ilk kez Ağustos 2023’te tespit eden ReversingLabs, paketin “açık kaynaklı bir rootkit olan r77’nin yerleştirilmesini kolaylaştıran bir Discord botu indirdiğini” belirterek, bunun “açık kaynaklı projelerin giderek daha fazla bir yol olarak görülebileceğini öne sürdüğünü” söyledi. kötü amaçlı yazılım dağıtmak için.”
Yazılım tedarik zinciri güvenlik firmasına göre kötü amaçlı kod, paketin index.js dosyasında yer alıyor ve yürütüldüğünde otomatik olarak çalıştırılan bir yürütülebilir dosyayı getiriyor.
Söz konusu yürütülebilir dosya, DiscordRAT 2.0 olarak bilinen C# tabanlı açık kaynaklı bir truva atıdır. Bu truva atı, güvenlik yazılımını devre dışı bırakırken hassas verilerin toplanmasını kolaylaştıran 40’tan fazla komutu kullanarak Discord üzerinden kurban bir ana bilgisayara uzaktan kumanda etme özellikleriyle birlikte gelir.
Talimatlardan biri, ele geçirilen sistemde r77 rootkit’i başlatmak için kullanılan “!rootkit”tir. bytecode77 tarafından aktif olarak bakımı yapılan r77, dosyaları ve işlemleri gizlemek için tasarlanmış ve diğer yazılımlarla paketlenebilen veya doğrudan başlatılabilen bir “dosyasız halka 3 rootkit’tir”.
Bu, r77’nin vahşi doğada kötü niyetli kampanyalarda kullanıldığı ilk sefer değil; tehdit aktörleri onu SeroXen truva atını ve kripto para birimi madencilerini dağıtan saldırı zincirlerinin bir parçası olarak kullanıyor.
Dahası, node-hide-console-windows’un iki farklı sürümünün, DiscordRAT 2.0’ın yanı sıra Blank-Grabber adlı açık kaynaklı bir bilgi hırsızını “görsel kod güncellemesi” olarak gizlediği bulundu.
Kampanyanın dikkate değer bir yönü, tamamen ücretsiz ve halka açık olarak çevrimiçi olarak erişilebilen bileşenlerin temelleri üzerine inşa edilmiş olması, tehdit aktörlerinin hepsini bir araya getirmesi için çok az çaba gerektirmesi ve “tedarik zinciri saldırı kapısının artık düşük risklilere açık olmasıdır” aktörler.”
Araştırma bulguları, geliştiricilerin açık kaynak kodlu depolardan paketler yüklerken dikkatli olmaları gerektiğinin altını çiziyor. Bu haftanın başlarında Fortinet FortiGuard Laboratuvarları, veri toplama özellikleriyle donatılmış, kodlama stili ve yürütme yöntemlerinde farklılıklara sahip yaklaşık üç düzine modül tespit etti.
Güvenlik araştırmacısı Lucija Valentić, “Kötü niyetli aktör veya aktörler, paketlerinin güvenilir görünmesini sağlamak için çaba harcadı” dedi.
“Bu kampanyanın arkasındaki aktör veya aktörler, yazım hatası yapılan meşru paketin sayfasına çok benzeyen bir npm sayfası oluşturdu ve hatta taklit ettikleri paketi yansıtmak için kötü amaçlı paketin 10 versiyonunu oluşturdu.”