Siber güvenlik araştırmacıları, npm kayıt defterinde, geliştirici sistemlerinden hassas verileri çalmak amacıyla Nomic Foundation’ın Hardhat aracını taklit eden birkaç kötü amaçlı paket ortaya çıkardı.
Soket araştırma ekibi bir analizde, “Saldırganlar, açık kaynaklı eklentilere duyulan güveni istismar ederek, kötü niyetli npm paketleri aracılığıyla bu platformlara sızarak özel anahtarlar, anımsatıcılar ve yapılandırma ayrıntıları gibi kritik verileri sızdırdı” dedi.
Hardhat, akıllı sözleşmeleri ve merkezi olmayan uygulamaları (dApps) düzenlemek, derlemek, hata ayıklamak ve dağıtmak için çeşitli bileşenleri içeren, Ethereum yazılımı için bir geliştirme ortamıdır.
Tespit edilen sahte paketlerin listesi aşağıdaki gibidir:
- nomik temeller
- @nomisfoundation/hardconfigure
- yüklü paket yayınlama
- @nomisfoundation/hard-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardware-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- kripto-düğümleri-doğrulayıcı
- solana-doğrulayıcı
- düğüm doğrulayıcıları
- kask-dağıtım-diğerleri
- kask-gaz-iyileştirici
- sağlamlık-yorum-çıkarıcılar
Bu paketlerden @nomicsfoundation/sdk-test 1.092 kez indirildi. Bir yıldan fazla bir süre önce Ekim 2023’te yayınlandı. Kurulduktan sonra, Hardhat ortamından anımsatıcı ifadeler ve özel anahtarlar toplayacak ve ardından saldırgan tarafından kontrol edilen bir sunucuya sızdırılacak şekilde tasarlandılar.
Şirket, “Saldırı, güvenliği ihlal edilmiş paketler yüklendiğinde başlıyor. Bu paketler, özel anahtarlar, anımsatıcılar ve yapılandırma dosyaları gibi hassas ayrıntıları toplamak için hreInit() ve hreConfig() gibi işlevleri kullanarak Hardhat çalışma zamanı ortamından yararlanıyor” dedi.
“Toplanan veriler, saldırganların kontrol ettiği uç noktalara iletilir ve kolaylaştırılmış sızma için sabit kodlanmış anahtarlardan ve Ethereum adreslerinden yararlanılır.”
Açıklama, Ethereum akıllı sözleşmelerindeki güvenlik açıklarını tespit etmek için bir kütüphane gibi görünen, ancak bunun yerine Quasar RAT kötü amaçlı yazılımını ortadan kaldıracak işlevsellik barındıran ethereumvulncontracthandler adlı başka bir kötü amaçlı npm paketinin keşfedilmesinden günler sonra geldi.
Son aylarda kötü niyetli npm paketlerinin, komuta ve kontrol (C2) sunucu adresi dağıtımı için Ethereum akıllı sözleşmelerini kullanarak, virüslü makineleri MisakaNetwork adı verilen blockchain destekli bir botnet’e dahil ettiği de gözlemlendi. Kampanyanın “_lain” adlı Rusça konuşan bir tehdit aktörüne kadar takip edildiği belirlendi.
Socket, “Tehdit aktörü, paketlerin çoğu zaman çok sayıda bağımlılığa dayandığı ve karmaşık bir ‘iç içe geçmiş oyuncak bebek’ yapısı oluşturduğu, doğası gereği npm ekosisteminin karmaşıklığına dikkat çekiyor.” dedi.
“Bu bağımlılık zinciri, kapsamlı güvenlik incelemelerini zorlaştırıyor ve saldırganlara kötü amaçlı kod yerleştirme fırsatlarını açıyor. _lain, geliştiricilerin her bir paketi ve bağımlılığı incelemesinin pratik olmadığını bilerek, npm ekosistemlerindeki bu karmaşıklıktan ve bağımlılık yayılımından yararlandığını kabul ediyor.”
Hepsi bu değil. Npm, PyPI ve RubyGems ekosistemlerinde ortaya çıkarılan bir dizi sahte kitaplığın, hassas verileri saldırganların kontrolündeki sunuculara sızdırmak için oastify.com ve oast.fun gibi bant dışı uygulama güvenlik testi (OAST) araçlarından yararlandığı tespit edildi.
Paketlerin isimleri şu şekildedir;
- Rusya’da bulunan Windows, Linux ve macOS uç noktalarından ödün verilmesini önleyen ve sistem bilgilerini toplama yetenekleriyle birlikte gelen adobe-dcapi-web (npm)
- Sistem meta verilerini toplayan monoliht (PyPI)
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), hassas bilgileri DNS sorguları aracılığıyla bir oastify.com uç noktasına aktarmak için tasarlanmış yerleşik komut dosyaları içerir
Soket araştırmacısı Kirill Boychenko, “Etik güvenlik değerlendirmeleri için oluşturulan araç ve tekniklerin aynıları tehdit aktörleri tarafından kötüye kullanılıyor” dedi. “Başlangıçta web uygulamalarındaki güvenlik açıklarını ortaya çıkarmayı amaçlayan OAST yöntemlerinden, veri çalmak, komut ve kontrol (C2) kanalları oluşturmak ve çok aşamalı saldırılar yürütmek için giderek daha fazla yararlanılıyor.”
Bu tür paketlerin oluşturduğu tedarik zinciri risklerini azaltmak için yazılım geliştiricilerin paketin orijinalliğini doğrulaması, paket adlarını yazarken dikkatli olması ve kurulumdan önce kaynak kodunu incelemesi önerilir.