Reversing Labs adlı bir araştırma ekibi, TurkoRat’ı npm paket deposunda pusuda beklerken buldu.
Reversing Labs bir blog gönderisinde, iki kötü amaçlı paketin meşru paketler üzerinde yazım hatası yaptığını ve keşfedilmeden önce yaklaşık iki aydır npm’de mevcut olduğunu söyledi.
Typo-squat saldırıları, React gibi popüler paketleri arayan geliştiricileri, benzer bir ada sahip (örneğin R2act) bir paket indirmeleri için kandırmaya çalışır.
Meşru paketler, nodejs-encrypt-agent ve nodejs-cookie-proxy-agent’tır.
Nodejs-encrypt-agent, şirketin 20 milyon kez indirildiğini söylediği Agent-Base 6.0.2 sürümünün bir parçasıdır.
Araştırmacılar, node-cookie-proxy-agent “ajan tabanı kadar popüler değil, ancak geçen yıl boyunca sürekli olarak indirildi” dedi.
Reversing Labs, “Kötü niyetli aktörler, milyonlarca geliştiriciden birinin kandırılarak zararsız paket yerine kötü amaçlı paketi indirmesini umuyorlardı,” dedi.
Araştırmacılar tarafından gözlemlenen saldırı davranışları, Windows dizinlerine yazma ve bu dizinlerden silme, komutları çalıştırma ve DNS ayarlarını kurcalamayı içeriyordu.
TurkoRat, GitHub’da sunulan açık kaynaklı, özelleştirilebilir bir kötü amaçlı yazılımdır.
Reversing Labs, kötü niyetli bir aktörün “bitmiş taşınabilir yürütülebilir dosyanın yapılandırmasını ve yeteneklerini değiştirmek için yapıdaki birkaç ayarı değiştirebileceğini” söyledi.
“Daha sonra build.bat’ı yeniden inşa etmek ve kötü amaçlı bir yürütülebilir dosyaya paketlemek için kullanmaları gerekecek” diye ekledi.
Reversing Labs araştırmacıları, npm paketinin gerekli tüm dosyaları tek bir yürütülebilir dosyada topladığını buldu.
“Kötü amaçlı paketler, kötü niyetli TurkoRat’ın bilinmeyen sayıda geliştirici makinede çalıştırılmasından neredeyse kesinlikle sorumluydu” dediler.
Geçen yıl, kripto madencileri 186 yazım hatası paketinde bulundu.