Güvenlik araştırmacıları, görünüşte zararsız bağlantılar aracılığıyla kötü amaçlı yükler sunmak için Google takvim davetlerinden yararlanan gelişmiş bir kötü amaçlı yazılım dağıtım yöntemi ortaya çıkardılar.
The Saldırı, Aldatıcı bir NPM paketinin etrafında ortalanmış os-info-checker-es6tek bir yazdırılamayan Unicode karakteriyle başlayan benzeri görülmemiş bir şaşkınlık seviyesi sergiliyor.
Unicode özel kullanım alanından bu karakter, şüpheli olmayan sistemlerde keyfi kod yürütmek üzere tasarlanmış karmaşık bir kodlanmış talimat zincirine kapı görevi görür.
.png
)
Bir sistem bilgisi yardımcı programı olarak gizlenen paket, gerçek niyetini Base64 kodlama ve ikili hile katmanlarının arkasına gizler ve sonuçta Google’a ev sahipliği yapan bir takvim olayından yük getirir.
Açılan yeni bir şaşkınlık tekniği
Soruşturma os-info-checker-es6 derinlemesine karmaşık bir saldırı vektörü ortaya çıkardı. Başlangıçta, paketin preinstall.js senaryo bir şüphe çekti eval() Kötü niyetli etkinlik için kötü şöhretli bir kırmızı bayrak olan Base64 dizelerini kod çözme.
preinstall.js dosyaBu kod çözme işlemine giriş, sadece bir boru sembolü olarak ortaya çıktı (|), ancak daha fazla analiz bunu daha büyük kodlanmış bir yükü gizleyen bir Unicode özel kullanım karakteri olarak ortaya koydu.
Eşlik eden bir pas ikili üzerindeki tersine mühendislik çabaları, tipik OS bilgi toplama fonksiyonlarından yoksun olduğu için ilk başta çok az fikir verdi.
Bununla birlikte, gerçek atılım, 7 Mayıs 2025’te paketin 1.0.8 sürümüyle geldi ve burada güncellenmiş bir komut dosyası daha uzun süredir gizlenmiş bir dize ortaya koydu.
Olsa da eval() Çağrı yorumlandı, bu dizeyi sanal alan bir ortamda kod çözdü, çok aşamalı bir saldırıya maruz kaldı.
Yazdırılamaz karakterlerden yürütülebilir koda kadar
Komut dosyası, bir Google takvimi davet ediyor https://calendar.app.google/t56nfUUcugH9ZUkx9olay başlığında baz64 kodlu bir URL’yi çıkarır ve uzak bir sunucudan şifreli bir yük indirmeyi izler. 140.82.54[.]223.
Bir başlatma vektörü ve gizli anahtar eşliğinde bu yük, daha sonra kullanıcının ayrıcalıklarıyla yürütülür ve potansiyel olarak tüm sistemi tehlikeye atar.
7 Haziran 2027 tarihli bir etkinlik için kaprisli pizza temalı bir profil fotoğrafı ile tamamlanan bir komut ve kontrol mekanizması olarak Google takviminin kullanılması, bu ürpertici işlemine gerçeküstü bir bükülme ekler.
Daha da şaşırtıcı, ilgili paketler gibi skip-tot– vue-dev-serverr– vue-dummyyVe vue-bit-Tüm meşru projeleri taklit etmek os-info-checker-es6 Ancak, saldırganın son oyununu zor bırakarak kod çözme işlevini tetiklemeyin.
Bu karmaşık kurulum, kötü niyetli niyetini tam olarak yürütememesine rağmen, olağandışı gizleme kalıpları nedeniyle algılamayı ironik bir şekilde kolaylaştıran yeni bir yaklaşımı vurgulamaktadır.
Güvenlik motorları o zamandan beri bu tür anormallikleri işaretlemeye adapte oldu ve saldırganın yaratıcılığını göze çarpan bir kötü niyetli niyet sinyaline dönüştürdü.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| Paketler | OS-Info-Checker-ES6, Skip-Tot, View Dev-Serverr, Vue-Dummy, Bit Vu |
| IP adresi | 140.82.54[.]223 |
| Url | https://calendar.app[.]Google/T56NFUUCUGH9ZUKX9 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!