5 Mayıs 2025’te popüler NPM paketini ‘Rand-User-Agent’ hedefleyen sofistike bir tedarik zinciri saldırısı keşfedildi.
Uzlaşma, enfekte olmuş sistemlerde uzaktan erişim özellikleri oluşturan kötü amaçlı kod ekleyerek, web kazıma işlemleri için randomize kullanıcı ajanı dizeleri oluşturmak için kullanılan meşru bir JavaScript kitaplığını etkiler.
Güvenlik araştırmacıları, WebScrapingapi’deki orijinal bakımcılardan yetkilendirilmeden yayınlanan paketin 1.0.110 sürümünde şüpheli kodu tespit etti.
.png
)
Saldırı özellikle ‘Rand-User-Agent’ ortalamasının haftalık yaklaşık 45.000 indirme yapması ve geliştirme ortamlarında geniş bir potansiyel saldırı yüzeyi oluşturduğu göz önüne alındığında.
Paket, resmi GitHub deposuna göre, yedi ay önce yayınlanan son meşru versiyonla (2.0.82) bu son olaya kadar yıllarca bağımsız kaldı.
O zamandan beri NPM kayıt defterinde üç kötü niyetli versiyon ortaya çıktı: 2.0.83, 2.0.84 ve 1.0.110.
Aikido Push araştırmacıları, kötü amaçlı yazılımları otomatik analiz boru hattı aracılığıyla tanımladılar ve saldırganların paketin dağıtım dosyalarındaki normal yatay kaydırma görünümünün ötesine saklanarak kodlarını nasıl gizlediklerini belirtti.
Analiz üzerine, kötü niyetli yük, kalıcılık oluştururken meşru kod arasında gizleme kabiliyeti nedeniyle “Ratatouille” olarak adlandırılan sofistike bir uzaktan erişim Trojan (sıçan) olarak tanımlandı.
Gömülü kötü amaçlı yazılım, 85.239.62’de komut ve kontrol altyapısı ile gizli iletişim kanallarını oluşturur[.]36, hem soket bağlantıları için 3306 bağlantı noktasını hem de dosya eksfiltrasyonu için 27017 numaralı bağlantı noktasını kullanma.
Yürütme üzerine sıçan, ana bilgisayar adı, kullanıcı adı, işletim sistemi türü ve işlem kimliği dahil olmak üzere sistem bilgilerini operatörlerine bildirir.
Güvenlik analizi, kötü amaçlı yazılım sürümlerinin, birden fazla gizleme katmanı kullanarak ve ek kötü amaçlı bileşenleri saklamak için kullanıcının ana klasöründe gizli bir Node_Modules dizini oluşturarak algılamadan kaçınmaya çalıştığını ortaya koymaktadır.
Enfeksiyon mekanizmasının teknik analizi
Sıçan, mevcut değilse, ‘Socket.io-istemci’ ve ‘Axios’ gibi bağımlılıkları dinamik olarak ithal eden sofistike bir kurulum tekniği kullanır.
Bu bağımlılıkların projenin meşru olanı yerine özel node_modules dizininden yüklenmesini sağlamak için modül yollarını değiştirir.
Bu yaklaşım, kötü amaçlı yazılımların projenin bağımlılık yapısından bağımsız olarak çalışmasını sağlar.
Özellikle ilgili olanlardan biri, Python kurulumlarını hedefleyen pencerelere özgü yol kaçırma.
Kötü amaçlı yazılım, sistem yoluna standart olmayan bir Python dizini hazırlar:-
const Y = path. Join(
process.env.LOCALAPPDATA || path.join(os.homedir(), 'AppData', 'Local'),
'Programs\\Python\\Python3127'
)
env.PATH = Y + ';' + process.env.PATHBu yol manipülasyonu, Python ile ilgili bir komut tetiklendiğinde, meşru Python operasyonlarını etkili bir şekilde ele geçirdiğinde saldırganların kötü niyetli ikili dosyaları uygulamalarını sağlar.
.webp)
Kötü amaçlı yazılım, kodunu kod editörlerinin görünür alanının ötesine yerleştirerek dağıtım dosyasındaki kodunu gizler.
Ekim 2024’ten sonra yayınlanan Rand-User-Agent’ın herhangi bir sürümünü kullanan kuruluşlar, uzlaşma göstergelerini, özellikle tanımlanan C2 altyapısına yetkisiz ağ bağlantılarını ve Python ortam yollarında beklenmedik değişiklikleri derhal kontrol etmelidir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.