Siber güvenlik araştırmacıları, tehdit aktörlerinin yazılım geliştiricilere kötü amaçlı yazılım dağıtmak için yasal JSON depolama hizmetlerini kötüye kullandığı karmaşık bir kampanyayı ortaya çıkardı.
Bulaşıcı Röportaj olarak bilinen kampanya, saldırganların görünürde meşru geliştirme projeleri dahilinde kötü amaçlı yükleri gizleme biçiminde önemli bir değişimi temsil ediyor.
Tehdit aktörleri, JSON Keeper, JSONsilo ve npoint.io gibi platformlardan yararlanarak kötü amaçlı kod dağıtımını meşru trafikle birleştirmenin bir yolunu buldu ve bu da tespitin giderek zorlaşmasına neden oldu.
Bulaşıcı Mülakat kampanyası en az 2023’ten beri aktiftir ve Kore Demokratik Halk Cumhuriyeti (DPRK) aktörleriyle uyumludur.
Operasyon özellikle Windows, Linux ve macOS sistemlerindeki yazılım geliştiricilerini hedef alıyor ve özellikle kripto para birimi ve Web3 projelerinde çalışanlara odaklanıyor.
Saldırganların hedefi mali kazanç sağlamak ve kurbanlardan hassas bilgileri ve dijital varlıkları çalmayı amaçlıyor.
İlk erişim, sahte işe alım görevlilerinin potansiyel kurbanlara LinkedIn gibi iş arama platformlarında ilgi çekici iş fırsatlarıyla yaklaştığı, titizlikle hazırlanmış sosyal mühendislik taktikleri yoluyla elde ediliyor.
Saldırı genellikle, emlak veya Web3 projelerinde çalışan meşru bir şirketi temsil ettiğini iddia eden sahte bir işe alım görevlisinin profesyonelce hazırlanmış bir mesajıyla başlar.
.webp)
Hoş sohbetler ve rolün tartışıldığı birkaç mesajın ardından işe alım görevlisi, röportaj değerlendirmesinin bir parçası olarak GitLab veya GitHub’da barındırılan bir demo projesini paylaşır.
NVISO Labs güvenlik analistleri, bu yaklaşımın geliştiricileri truva atı haline getirilmiş kodu indirmeleri ve yürütmeleri için başarılı bir şekilde kandırdığını belirledi.
Saldırı Mekanizması
Demo projeleri, ayrıntılı benioku dosyaları ve emlak platformlarını veya kripto para birimi uygulamalarını sergileyen profesyonel düzenleri içeren ve ikna edici bir görünüm yaratan meşru görünüyor.
.webp)
InvisibleFerret’in Pastebin işlevi (Kaynak – NVISO Labs)
Geliştiriciler projeleri Node.js kullanarak indirip çalıştırdıktan sonra enfeksiyon zinciri başlar. Gerçek teknik zeka, kötü amaçlı yazılımın nasıl dağıtıldığına bağlıdır.
Bu projelerdeki yapılandırma dosyaları, JSON depolama hizmeti URL’lerini maskeleyen base64 kodlu değişkenler içerir. Bu değişkenlerin kodu çözüldüğünde, JSON Keeper’a veya yoğun şekilde gizlenmiş JavaScript kodu barındıran benzer platformlara olan bağlantılar ortaya çıkar.
Bu kod, meşru Node.js işlemleri aracılığıyla otomatik olarak getirilip yürütülür; bu da geleneksel güvenlik araçlarının saldırıyı yakalamasını zorlaştırır.
Gizlenmiş JavaScript, cüzdan bilgilerini, sistem verilerini ve kripto para birimiyle ilgili tarayıcı uzantısı bilgilerini çalma konusunda uzmanlaşmış BeaverTail bilgi hırsızını getirir.
BeaverTail uygulamasının ardından InvisibleFerret Uzaktan Erişim Aracı sonraki aşamalarda devreye alınır.
Python’da yazılan bu modüler çerçeve, veri sızdırma, sistem parmak izi alma ve ek yükleri indirme dahil olmak üzere çok sayıda yetenek taşır.
Saldırı zinciri, yükleri barındırmak ve tespitten kaçınmak için Pastebin ve Demiryolu gibi yasal hizmetleri kullanarak birden fazla aşamadan geçiyor.
Bu kampanyayı diğerlerinden ayıran şey, saldırganın tespit edilmekten kaçınmak için meşru altyapıyı gelişmiş bir şekilde kullanmasıdır.
Tehdit aktörleri, yaygın olarak kullanılan JSON depolama hizmetleri ve kod depoları aracılığıyla kötü amaçlı yazılım barındırarak trafiklerinin normal görünmesini sağlar.
Kuruluşlar, işe alım görevlilerinden veya bilinmeyen kaynaklardan istenmeyen kod alırken son derece dikkatli olmalıdır.
Yapılandırma dosyalarını şüpheli API anahtarlarına karşı incelemek ve Node.js yürütme davranışlarını izlemek, tehdit ağda yerleşmeden önce benzer saldırıların tespit edilmesine ve önlenmesine yardımcı olabilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
