ReversingLabs, aşağıdakilerin ayrıntılarını paylaşmak için bir danışma belgesi yayınladı: kötü amaçlı paket açık kaynak havuzlarının rutin bir incelemesini gerçekleştirirken PyPI’de (Python Paket Dizini) keşfedildi.
Araştırmacılar Lucija Valentic ve Karlo Zanki, Aabquerys adlı kötü amaçlı paketin açık kaynakta keşfedildiğini kaydetti. JavaScript NPM deposu ve ikinci ve üçüncü aşama kötü amaçlı yazılım yüklerini virüslü sistemlere indirebilir.
Yazım hatası – Büyüyen Bir Tehdit
Aabquery’ler teknik yazım hatası meşru NPM modülü Abquery gibi görünmesi için akıllıca adlandırıldığından, kötü amaçlı bileşenlerin indirilmesini teşvik etmek için. Kötü amaçlı paket, biri bir JavaScript karartıcı aracılığıyla gizlenmiş iki dosya içeriyordu.
Madem buradasın, unutma “Google.com, ɢoogle.com değil”
“Aabquerys söz konusu olduğunda, söz konusu gizlenmiş kodun karmaşıklığı kolayca giderildi. Bu, açıkça kötü niyetli davranış içeren bir dosyayı ortaya çıkardı” dedi. danışma/blog gönderisi Okumak.
Valentic ve Zanki, açık kaynak kodlarının herkes tarafından görüntülenebilmesi nedeniyle bunun kritik bir sorun olduğunu, bu nedenle bir açık kaynak modülünde bu tür işlevleri gizleme veya gizleme girişiminin araştırılmasının çok önemli olduğunu iddia ediyor.
Aabquerys Paket Analizi
Aabquerys, ikinci ve üçüncü aşama kötü amaçlı yazılım yüklerini uzak bir sunucudan virüslü cihazlara indirebilir. Ayrıca, DLL yandan yükleme saldırılarına karşı savunmasız bir Avast proxy ikili dosyası (wscproxy.exe) içerir.
Üçüncü aşama yükü Demon.bin olarak tanımlanır ve bu, açık kaynaklı bir C2 çerçevesi kullanılarak oluşturulan geleneksel RAT işlevlerine sahiptir TahribatC5pider tarafından yazılmıştır.
Aabquerys’in yazarı, Aabquerys’in çeşitli sürümlerini, yani aabquerys ve nvm jquery’yi yayınlamış olmasıdır; bunlar Aabquerys’in önceki sürümleri olabilir.
Aabquerys paketi, keşfedilmesinin ardından derhal sistemden kaldırıldı. NPM deposu. Yine de bulgular, PyPI, GitHub ve NPM gibi açık kaynak havuzlarında gizlenen ve yazılım tedarik zinciri için kalıcı olumsuz sonuçlara yol açabilecek artan kötü amaçlı paket tehdidini vurgulamaktadır.
ALAKALI HABERLER
- Typosquatting: Ruby deposundaki 700 kitaplık trojenleştirildi
- Typosquatting: Kötü amaçlı paketler, kripto adreslerini değiştirir
- Typosquatting: Kötü amaçlı yazılımlarla dolu resmi Python depoları