Siber güvenlik araştırmacıları, NPM kayıt defterinde popüler bir telgraf bot kütüphanesi olarak maskelenen ancak SSH backdoors ve veri açığa çıkma özelliklerini barındıran üç kötü amaçlı paket ortaya çıkardılar.
Söz konusu paketler aşağıda listelenmiştir –
Tedarik zinciri güvenlik firması soketine göre, paketler, haftalık 100.000’den fazla indirme ile popüler bir Node.js Telegram Bot API olan NODE-TELEGRAM-BOT-API’yi taklit etmek için tasarlanmıştır. Üç kütüphane hala indirilebilir.
Güvenlik araştırmacısı Kush Pandya, “Bu sayı mütevazı görünse de, geniş ölçekli sızma veya yetkisiz veri erişiminin yolunu açmak sadece tek bir uzlaşmacı ortam gerektiriyor.” Dedi.
“Tedarik zinciri güvenlik olayları, özellikle saldırganların geliştirici sistemlerine veya üretim sunucularına doğrudan erişim kazandığında, bir avuç kurulumun bile katastrofik yansımalara sahip olabileceğini tekrar tekrar göstermektedir.”
Rogue paketleri sadece meşru kütüphanenin açıklamasını kopyalamakla kalmaz, aynı zamanda özgünlüğü yükseltmek ve şüpheli geliştiricileri indirmek için kandırmak için Starjacking adlı bir teknikten yararlanır.
Starjacking, açık kaynaklı bir paketin meşru kütüphane ile ilişkili GitHub deposunu bağlayarak olduğundan daha popüler hale getirildiği bir yaklaşımı ifade eder. Bu genellikle paket ve GitHub deposu arasındaki ilişkinin mevcut olmayan validasyonundan yararlanır.
Socket’in analizi, paketlerin Linux sistemleri üzerinde açıkça çalışacak şekilde tasarlandığını ve “~/.ssh/yetkili_keyler” dosyasına iki SSH tuşunu eklediğini ve böylece saldırganlara ana bilgisayara sürekli uzaktan erişim sağladığını buldu.
Komut dosyası, “Ipinfo[.]io/ip. “Ayrıca harici bir sunucuya da işaret ediyor (” Solana.validator[.]Blog “) enfeksiyonu doğrulamak için.
Paketleri sinsi yapan şey, eklenen SSH tuşları, sonraki kod yürütme ve veri açığa çıkması için tehdit aktörlerine kaldırılmamış uzaktan erişim sağladığından, bunların kaldırılmasının tehdidi tamamen ortadan kaldırmamasıdır.
Açıklama, Socket, bir Volet (eski adıyla Advcash) entegrasyonu olarak gizlerken uzak bir sunucuya ters bir kabuk başlatmak için tasarlanmış @naderabdi/merchant-advcash adlı başka bir kötü niyetli paket olarak gelir.
Şirket, “Paket @Naderabdi/Merchant-Advcash, bir ödeme başarı işleyicisinin çağrılması üzerine uzak bir sunucuya ters bir kabuk açan sert kodlanmış mantık içerir.” Dedi. Diyerek şöyle devam etti: “Tüccarların kripto para birimi veya fiat ödemelerini almaları, doğrulaması ve yönetmeleri için bir faydası olarak gizleniyor.”
“Kurulum veya içe aktarma sırasında kodu yürüten birçok kötü amaçlı paketin aksine, bu yük, özellikle başarılı bir işlemden sonra çalışma zamanına kadar ertelenir. Bu yaklaşım, kötü amaçlı kod yalnızca belirli çalışma zamanı koşullarında çalıştığı için algılamadan kaçmaya yardımcı olabilir.”