ReversingLabs’taki güvenlik araştırmacıları yeni bir kötü amaçlı yazılım kampanyası NPM paket deposunda, geliştiricilerin sistemlerini enfekte etmek için yeni bir yaklaşım ortaya koyuyor. Tipik kötü amaçlı yazılımlardan farklı olarak, bu saldırı sadece kötü amaçlı kod sunmaz, aynı zamanda bir kullanıcının bilgisayarına yüklü meşru yazılımlarda gizler.
Kampanya iki paketin etrafında merkezleniyor, ethers-provider2 Ve ethers-providerzbaşlangıçta zararsız indiriciler olarak görünen. Ancak, bu paketler sessizce popüler bir NPM paketini “yamalamak” için çalışır. ethersile etkileşim kurmak için yaygın olarak kullanılan bir araç Ethereum Blockchainkötü amaçlı bir dosya ile. Bu değiştirilmiş versiyonu ethers Ardından, saldırganlara tehlikeye atılan sisteme uzaktan erişim sağlayarak bir arka kapı açar.
Bu saldırıyı öne çıkaran şey, saldırganların yüklerini gizlemeye yönelik çaba düzeyidir. Çarşamba günü yayınlanmasından önce hackread.com ile paylaşılan ReversingLabs’ın analizi, kötü amaçlı yazılımların izlerini kapsayacak şekilde büyük çaba harcadığını, enfeksiyon süreci sırasında kullanılan geçici dosyaları bile sildiğini gösteriyor, NPM tabanlı kötü amaçlı yazılım.
Araştırmacılar, “Bu kaçak teknikler, daha önce NPM tabanlı indiricilerde gözlemlediğimizden daha kapsamlı ve etkili oldu” dedi. Blog yazısı. İlk kötü amaçlı paketin kaldırılması bile, değiştirilmiş olduğu için güvenliği garanti etmez ethers Paket yeniden yüklenirse devam edebilir ve yeniden enfekte olabilir.
Saldırı, kötü amaçlı yazılımların birkaç aşamasını indirerek çalışır. İlk indirici ikinci bir aşama alır, bu da daha sonra varlığını kontrol eder ethers paket. Bulunursa, bir çekirdek dosyayı son aşamayı indiren ve yürüten değiştirilmiş bir sürümle değiştirir – saldırganların tam kontrolünü sağlayan ters bir kabuk.
Sırasında ethers-providerz o zamandan beri NPM’den kaldırıldı, ethers-provider2 yayınlandığı sırada hala mevcuttu ve NPM koruyucularına bildirildi. Araştırmacılar ayrıca ek paketler belirlediler, reproduction-hardhat Ve @theoretical123/providersher ikisi de kaldırılmış olan aynı kampanyaya bağlı.
ReversingLabs, geliştiricilerin yerel olarak yüklü olup olmadığını tespit etmelerine yardımcı olacak bir Yara kuralı yayınladı. ethers Paketten ödün verildi.
Bu olay iyi bir hatırlatma NPM’de kötü amaçlı paketler hala büyük bir sorun. 2024’te kötü amaçlı yazılım sayılarında küçük bir düşüş olmasına rağmen, saldırganlar yazılım tedarik zincirine girmek için yeni hileler bulmaya devam ediyor. Geliştiricilerin temkinli kalmaları ve kendilerini ve projelerini güvende tutmak için güçlü güvenlik uygulamaları kullanmaları gerekir.
Pixabay’dan Innova Labs’ın öne çıkan görüntüsü!