Güvenlik araştırmacıları, yaklaşık 30 dakika önce npm kayıt defterine yüklenen, @vietmoney/react-big-calendar paketi içinde gizlenmiş, yeni değiştirilmiş bir Shai Hulud kötü amaçlı yazılım türünün ilk örneği gibi görünen şeyi belirlediler.
Bu keşif, tehdit aktörlerinin yaygın saldırıları başlatmadan önce güncellenmiş yükleri test ettiğini ve önemli kod değişikliklerinin kopya aktiviteden ziyade orijinal kötü amaçlı yazılım kaynak koduna erişimi gösterdiğini gösteriyor.
Bu tespitin zamanlaması kritiktir. Tespit edilmeden önce önemli bir yayılma elde eden önceki Shai Hulud kampanyalarından farklı olarak, bu varyant herhangi bir merkezi enfeksiyon veya dağıtım belirtisi göstermiyor; bu da araştırmacıların saldırganları test aşamasında yakaladığını kuvvetle akla getiriyor.
Gizlenmiş kodun analizi, kötü amaçlı yazılımın yerinde değiştirilmek yerine kaynak kodundan yeniden oluşturulduğunu ortaya koyuyor; bu da solucanın temel kod tabanına erişimi olan karmaşık tehdit aktörlerine işaret ediyor.
Kritik Kod Değişiklikleri
Yeni tür, operasyonel yapısında birkaç önemli değişiklik getiriyor. İlk bulaşma dosyası orijinal adından “bun_installer.js” olarak yeniden adlandırıldı, ana yük ise artık “environment_source.js” olarak çalışıyor.
Bu değişiklikler, önceki sürümleri kataloglamış olabilecek imza tabanlı algılama mekanizmalarından kaçınmaya yönelik kasıtlı bir girişimi temsil etmektedir.
Ancak tehdit aktörleri dosya adlandırma düzeninde kritik bir programlama hatası yaptı. Kötü amaçlı yazılım, güvenliği ihlal edilmiş GitHub depolarından “c0nt3nts.json” dosyasını almaya çalışır ancak dosyayı yanlışlıkla “c9nt3nts.json” olarak kaydeder.
Bu yazım hatası, kötü amaçlı yazılımın veri sızdırma zincirinde işlevsel bir kırılma yaratarak, çalınan bilgileri düzgün bir şekilde saklama ve alma becerisini potansiyel olarak sekteye uğratıyor.
Yeni varyant, GitHub depolarına veri sızdırırken artık önceki tanımlayıcı olan “Sha1-Hulud: The Second Coming”in yerine “Goldox-T3chs: Only Happy Girl” depo açıklamasını ataıyor.
Bu değişiklik, araştırmacıların virüslü veri havuzlarını daha etkili bir şekilde izlemelerine olanak tanırken aynı zamanda bu kampanya için bir ilişkilendirme işaretçisi görevi de görüyor.
Operasyonel İyileştirmeler
Değiştirilen tür, önceki türe göre birçok teknik gelişme göstermektedir. TruffleHog gizli taraması için geliştirilmiş hata işleme, artık zaman aşımı mekanizmalarını içeriyor; kod, yürütme süresi sınırlarını aşan işlemleri açıkça sonlandırıyor.
Sızan veri dosyaları “3nvir0nm3nt.json”, “cl0vd.json”, “c9nt3nts.json”, “pigS3cr3ts.json” ve “actionsSecrets.json” olarak yeniden adlandırıldı; bu, muhtemelen önceki dosya adlandırma modellerini arayan algılama sistemlerinden kaçınmak için tasarlandı.
Özellikle, önceki sürümlerde mevcut olan ölü adam değiştirme mekanizmasının tamamen kaldırılmış olması, kötü amaçlı yazılımın tespit edilmesi halinde arızaya karşı güvenli eylemleri tetikleme yeteneğini azaltan önemli bir operasyonel değişimi temsil etmektedir.
Solucan artık platforma özel paket yayınlama yetenekleri içeriyor ve Windows platformlarında “bun.exe”yi çağırmak için koşullu mantık uygulayarak Windows sistemlerinin Bun komutlarını düzgün şekilde yürütemediği önceki sınırlamayı ele alıyor.
Gizli toplama işlemleri sırasında ince ama önemli bir değişiklik ortaya çıkıyor. Yeni sürüm, “içerik” dosyasını ilk başta değil en sonda kaydediyor ve veri toplama sırasında operasyonel güvenliği veya sızma verimliliğini artırabilecek kasıtlı değişiklikler öneriyor.
Npm paketlerini kullanan kuruluşlar, @vietmoney/react-big-calendar paketine olan bağımlılıklarını derhal denetlemeli ve bu kampanyayla ilişkili GitHub depo açıklamaları ve dosya adlandırma kalıpları için gelişmiş izleme uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.