2024’ün başlarında Kuzey Koreli tehdit aktörleri, Jade Sleet’in daha önce kullandığı paketlere benzer kötü amaçlı paketleri yaymak için halka açık npm kayıt defterini kullanmakta ısrar etti.
Başlangıçta Sleet’in faaliyetinin bir uzantısı olduğu düşünülen daha ileri araştırmalar, npm kayıt defteri aracılığıyla açık kaynak ekosistemini hedef alan yeni bir tehdit aktörünü ortaya çıkardı; bu da güvenlik topluluğu içindeki farkındalığın artmasına rağmen Kuzey Koreli aktörlerin oluşturduğu devam eden riskin altını çizdi.
Kuzey Koreli yeni bir tehdit aktörü olan Moonstone Sleet, kamuya açık npm kayıt defterindeki kötü amaçlı paketler aracılığıyla kötü amaçlı yazılım dağıtarak açık kaynaklı yazılım tedarik zincirindeki güvenlik açığından yararlanıyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Jade Sleet gibi diğer Kuzey Koreli aktörlerin taktiğiyle karşılaştırılabilir olan bu taktik, geliştiricileri olası uzlaşmalara maruz bırakıyor ve devlet destekli aktörlerin açık kaynak ekosisteminin bütünlüğüne yönelik oluşturduğu süregelen tehdidi vurguluyor.
Microsoft, finansal kazanç ve casusluk için diğer Kuzey Koreli aktörlerle örtüşen ancak aynı zamanda benzersiz yöntemler de içeren çeşitli taktikler (TTP’ler) kullanan yeni bir Kuzey Koreli tehdit aktörü olan Moonstone Sleet’i belirledi.
.webp)
Phylum tarafından bildirilen tekniklere benzer şekilde Moonstone Sleet, hem hedefli serbest çalışma platformları hem de halka açık npm kayıt defteri aracılığıyla kötü niyetli npm paketleri dağıtıyor; bu da onların erişim alanını genişletiyor ve şüphelenmeyen geliştiricilerin kötü amaçlı yazılımlarını yükleme şansını artırıyor.
Checkmarx tarafından kötü amaçlı npm paketlerinin analizi, Jade Sleet (İlkbahar/Yaz 2023) ve Moonstone Sleet (2023 Sonu/2024 Başı) ile bağlantılı olanlar arasında farklı kod stillerini ortaya koyarken, Jade Sleet’in paketleri tespitten kaçınmak için iki bölümlü bir strateji kullanıyordu.
Ayrı bir hesap altında yayınlanan ilki, bir dizin oluşturdu ve uzak bir sunucudan güncellemeleri getirerek, büyük olasılıkla kötü amaçlı yükü içeren ikinci paketin ele geçirilen makinede çalıştırılması için altyapıyı oluşturdu.
.webp)
Çiftteki ikinci paket, ilk paket tarafından oluşturulan bir dosyadan bir belirteç alan ve bunu belirli bir URL’den kötü amaçlı kod indirmek için kullanan ve daha sonra kurbanın makinesindeki yeni bir dosyaya yazılan bir indirici ve yürütücü görevi görür. Node.js betiği olarak yürütülür ve kötü amaçlı işlevselliği açığa çıkar.
.webp)
İki paket yaklaşımı, 2023’ün sonlarında ve 2024’ün başlarında kullanılan, yükün doğrudan kodlandığı ve kurulum sırasında yürütüldüğü tek paket yönteminden bir değişikliktir.
Saldırganlar, temel kötü amaçlı işlevleri korurken potansiyel olarak tespitten kaçınmak için ayrı bir indirici kullanarak tekniklerini geliştiriyor gibi görünüyor.
Saldırganlar, bir dosyayı indiren, basit bir XOR kullanarak şifresini çözen, yeniden adlandıran ve Windows’ta rundll32 aracılığıyla çalıştıran yükleri dağıtmak için kötü amaçlı açık kaynak paketleri kullanıyor.
Paket, tespit edilmekten kaçınmak için geçici dosyaları silerek ve kötü amaçlı kodunu temiz bir sürümle değiştirerek kendi kendini temizlerken, saldırı 2024’ün ikinci çeyreğinde gelişti; paketler daha karmaşık hale geldi, gizleme kullandı ve Linux sistemlerini de hedef aldı.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free