CheckMarx Zero araştırmacısı Ariel Harush, Python ve NPM kullanıcılarını Windows ve Linux platformlarında Popüler Paketlere karşı yazım hatası ve isim eşitleme saldırıları yoluyla hedefleyen gelişmiş bir kötü amaçlı paket kampanyasını ortaya çıkardı.
Bu koordineli tedarik zinciri saldırısı, güvenlik araştırmacılarının açık kaynaklı tehditlerde bir evrimi temsil ettiği konusunda eşi görülmemiş çapraz ekosistem taktikleri ve ileri kaçaklama tekniklerini göstermektedir.
Çapraz ekosistem yazım hatası yazma kampanyası
Saldırı kampanyası, özellikle PYPI’da terminal çıktısını renklendirmek için yaygın olarak kullanılan bir Python paketi olan Colorama’nın kullanıcılarını ve NPM’de benzer bir JavaScript paketi olan Colorizr kullanıcılarını hedefliyor.
.png
)
Güvenlik araştırmacıları, geliştiricileri tipografik hatalarla kazara kuruluma karıştırmak için tasarlanmış adlarla PYPI’ye yüklenen birden fazla kötü amaçlı paket belirledi.
Kampanyanın en alışılmadık özelliği, PYPI kullanıcılarına saldırmak için NPM ekosisteminden adlandırma kurallarını kullanmayı içeriyor ve bu da kasıtlı karışıklık taktikleri veya gelecekteki NPM hedefli saldırılar için hazırlık öneriyor.
Kötü niyetli paketler, ortak yazma hatalarından ve paket adlandırma kurallarına ilişkin geliştirici varsayımlarını kullanmak için stratejik olarak adlandırılmıştır.
Tehdit aktörleri geleneksel olarak tek ekosistem hedeflerine odaklandığından, bu çapraz ekosistem yem tekniği, tedarik zinciri saldırı metodolojilerinde önemli bir evrimi temsil eder.
Kampanyanın kapsamı ve koordinasyonu, fırsatçı saldırılardan ziyade hedefli düşmanlık faaliyetini göstermektedir, ancak araştırmacılar net ilişkilendirme verilerinin kullanılamadığını belirtiyor.
Çok platformlu yükler
Keşfedilen yükler, hassas veri açığa çıkması, uzaktan erişim kuruluşu ve kapsamlı kalıcılık mekanizmaları gibi ortak özelliklerle hem Windows hem de Linux ortamlarında sofistike özellikler gösterir.
GitHub Hesabı Github.com/S7BHME ile bağlantılı Windows-hedefli varyantlar, potansiyel kimlik bilgilerini ve yapılandırma sırlarını ortaya çıkarmak için Windows Kayıt Defteri’nden ortam değişkeni hasatını kullanır.
Bu yükler, farklı dosya yollarına işaret eden görev zamanlayıcı girişleri aracılığıyla kalıcılık oluşturur ve uzun vadeli uzlaşma için tasarlanmış modüler dağıtım mimarileri önerir.
Windows yükleri, yüklü güvenlik yazılımını aktif olarak kontrol ederek ve davranışı buna göre değiştirerek gelişmiş antivirüs kaçırma özellikleri sergiler.
Araştırmacılar, “C: \ Program Files \ Windows Defender \ mpcmdrun.exe” dahil belirli bir önleme önleme komutları gözlemlediler.
Bu davranışlar, tespitten kaçınırken kalıcı dayanakların oluşturulmasına odaklanan açık çekişsel niyeti göstermektedir.
Colorizator ve Coloraiz dahil Linux hedefli paketler, src/colorizator/init.py dosyalarında sofistike enfeksiyon zincirlerini başlatan baz 64 kodlu yükler içerir.
Saldırı dizisi, /tmp/pub.pem adresine RSA anahtar dağıtımını, GS-Netcat kurulumu için gsocket.io/y’den uzaktan bash komut dosyası indirmelerini ve geçerli geliştirici tuşlarını kullanarak şifreli çıkış eksfiltrasyonunu içerir.
İndirilen BASH komut dosyası, SystemD kalıcılığı, kabuk profili enjeksiyonu, crontab modifikasyonları ve anlaşmazlık, telgraf ve özel URL’ler için webhook bildirimleri dahil kapsamlı arka kapı işlevleri sağlar.
İlk soruşturma, benzerlikleri adlandırmaya ve zamanlama kalıplarını yüklemeye dayalı birleşik tehdit aktör katılımını önerdi, ancak daha derin analiz, atıf çabalarını karmaşıklaştıran takım, taktik ve altyapıdaki farklılıkları ortaya koyuyor.
Araştırmacılar, hem Windows hem de Linux yük setlerini tek bir kaynağa kesin olarak bağlayamazlar ve benzer yazım hatası taktiklerini kullanan potansiyel ayrı kampanyalar önerir.
Bu belirsizlik, siber suç ekosistemlerinde kötü niyetli tekniklerin ne kadar hızlı bir şekilde çoğaldığını vurgulamaktadır.
Paketler, kamu depolarından kaldırıldı ve acil hasar potansiyelini sınırladı, ancak kampanya, sofistike açık kaynaklı tedarik zinciri tehditlerinin kritik bir hatırlatıcısı olarak hizmet ediyor.
Güvenlik uzmanları, kötü amaçlı paket adları için konuşlandırılmış uygulama kodunun derhal incelenmesini, özel depolardan herhangi bir örnekin kaldırılmasını ve geliştirme ortamlarında engelleme mekanizmalarının uygulanmasını önermektedir.
Uzlaşma göstergeleri
| Tip | Değer | Tanım |
|---|---|---|
| Github deposu | github.com/s7bhme | Depo, kötü niyetli yükler ve şablonlar barındırma |
| Webhook URL’si | Webhook.site/dc3c1Af9-ea3D-4401-9158-EB6DDA735276 | Veri açığa çıkma ve bildirimler için son nokta |
| Paket Sahibi | rick_grimes | Linux için yüklenen renklendirici (1.2.3, 2.1.2) |
| Paket Sahibi | Morty_smith | Linux için yüklenen Coloraiz (1.0.1, 1.0.2, 1.0.3) |
| Paket Sahibi | tilki | Windows için yüklendi ColoramapKGSW (0.1.0), Coloramapkgsdow (0.1.0) |
| Paket Sahibi | M5TL | Windows için yüklenen codyamashowtemp (0.1.0) |
| Paket Sahibi | DSSS | Windows için yüklenen Coloramapkgs (0.1.0), ReadMecolorama (0.1.0) |
| Sha256 karma | D30c78c64985a42c34ef142fd8754a776c8db81228bafc385c5bd429252e4612 | Kötü niyetli linux bash betiği |
| Sha256 karma | DAEF5255EAC4A4D16940E424C97492C6BAD8FDAFD2420632C371B9D18DF3B47F | Windows yükü (x69gg.exe) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!