Siber güvenlik araştırmacıları, npm paket kayıt defterinde Kubernetes yapılandırmalarını ve SSH anahtarlarını tehlikeye atılmış makinelerden uzak bir sunucuya sızdırmak için tasarlanmış yeni bir kötü amaçlı paket grubu keşfetti.
Sonatype şu ana kadar 14 farklı npm paketi keşfettiğini söyledi: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable ve parlaklıklar.
“Bu paketler […] yazılım tedarik zinciri güvenlik firması, JavaScript kitaplıklarını ve ESLint eklentileri ve TypeScript SDK araçları gibi bileşenlerini taklit etme girişiminde bulunduğunu söyledi. “Ancak kurulum sonrasında paketlerin birden fazla sürümünün, hassas dosyaları toplamak ve sistemden çekmek için karmaşık kod çalıştırdığı görüldü.” makineyi hedef al.”
Modüller, Kubernetes yapılandırması ve SSH anahtarlarının yanı sıra kullanıcı adı, IP adresi ve ana bilgisayar adı gibi sistem meta verilerini de toplayabilir ve bunların tamamı app.threatest adlı bir alana iletilir.[.]com.
Açıklama, Sonatype’in, bağımlılık karışıklığı olarak bilinen bir teknikten yararlanarak PayPal Zettle ve Airbnb geliştiricileri tarafından etik bir araştırma deneyinin parçası olarak kullanıldığı iddia edilen dahili paketleri taklit eden sahte npm paketlerini tespit etmesinden bir haftadan biraz daha uzun bir süre sonra geldi.
Bununla birlikte, tehdit aktörleri, geliştirici sistemlerini tehlikeye atmak ve sonuçta yazılım tedarik zincirini zehirlemek için kripto hırsızları, bilgi hırsızları ve diğer yeni kötü amaçlı yazılımlarla npm ve PyPI gibi açık kaynaklı kayıtları hedeflemeye devam ediyor.
Phylum tarafından bu ayın başlarında vurgulanan bir örnekte, hardhat-gas-report adlı bir npm modülü, 6 Ocak 2023’ten bu yana sekiz aydan fazla bir süre boyunca zararsız kaldı ve ardından 1 Eylül 2023’te kötü amaçlı yazılımları içeren iki arka arkaya güncelleme aldı. Panoya kopyalanan Ethereum özel anahtarlarını uzak bir sunucuya sızdırabilen JavaScript.
Şirket, “Bu hedefe yönelik yaklaşım, kripto para birimi güvenliği konusunda gelişmiş bir anlayışa işaret ediyor ve saldırganın, Ethereum cüzdanlarına veya diğer güvenli dijital varlıklara yetkisiz erişim için hassas kriptografik anahtarları yakalayıp sızdırmayı hedeflediğini gösteriyor” dedi.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Bir başka tedarik zinciri saldırısı girişimi vakası, gcc-patch adı verilen, özel bir GCC derleyicisi gibi görünen ama aslında “masum geliştiricilerin hesaplama gücünden gizlice yararlanan ve onların pahasına kar elde etmeyi amaçlayan” bir kripto para madencisini barındıran kurnaz bir npm paketini içeriyordu.
Dahası, bu tür kampanyalar Javascript (npm), Python (PyPI) ve Ruby (RubyGems) ekosistemlerini kapsayacak şekilde çeşitlendi; tehdit aktörleri veri toplama ve sızma yeteneklerine sahip çeşitli paketler yükledi ve bunu kötü amaçlı yükler taşıyan yeni sürümler yayınlayarak takip etti. .
Kampanya özellikle Apple macOS kullanıcılarını hedef alıyor; bu da açık kaynak paket depolarındaki kötü amaçlı yazılımların yalnızca giderek yaygınlaşmakla kalmayıp aynı zamanda Windows dışındaki diğer işletim sistemlerini de öne çıkardığını gösteriyor.
Phylum bir analizde “Bu paketlerin yazarı yazılım geliştiricilere karşı geniş bir kampanya düzenliyor” dedi. “Bu kampanyanın nihai hedefi belirsizliğini koruyor.”