NPM paket deposu aktif kalıyor ve 2023 ve 2024 yılları arasında kötü amaçlı yazılım sayılarındaki düşüşe rağmen, bu yılki sayılar bu aşağı yönlü eğilime devam etmiyor gibi görünüyor.
Son zamanlarda, güvenlik araştırmacıları iki ilginç paket keşfetti ethers-provider2 Ve ethers-providerzkötü niyetli niyetlerini gizlemek için sofistike teknikler kullanan.
Bu paketler, meşruların yerel olarak yüklü sürümlerine kötü amaçlı kod enjekte ederek indiriciler olarak hareket eder ethers Paket, nihayetinde kurbanın makinesinde bir ters kabuk oluşturur. Bu sofistike düzeyde daha yakından inceleme yapılmasını gerektirir.
. ethers-provider2 Kötü amaçlı yazılım teslimi
. ethers-provider2 Yayın sırasında NPM’de bulunan paket, meşru ve yaygın olarak kullanılanları taklit eder ssh2 paket.
Meşru içerirken ssh2 kaynak kodu, ethers-provider2 Kötü niyetli eklemeler içerir.
Tersine dönme tabanları içindeki kötü amaçlı kodları tespit etti ethers-provider2. . install.js Dosya, kurulum üzerine uzak bir sunucudan ikinci aşamalı bir kötü amaçlı yazılım indirmek için değiştirilmişti.
Bu indirilen komut dosyası daha sonra yürütülür ve hemen silinir, meşru paketlerde nadir görülen bir taktik ve kötü niyetli niyetin göstergesidir.
İkinci aşamalı kötü amaçlı yazılım, meşru varlığını sürekli olarak kontrol ederek çalışır ethers Yerel sistemde paket.
Tespit edildikten sonra, provider-jsonrpc.js Aynı uzak sunucudan üçüncü aşamalı kötü amaçlı yazılımları indiren ve yürüten kötü amaçlı kod içeren değiştirilmiş bir sürüme sahip dosya.
Ayrıca, ikinci aşamalı kötü amaçlı yazılımlar bir loader.js “Yama” işlevini çoğaltan ve yürüten dosya.
Son aşama, saldırganın sunucusuna ters bir kabuk bağlantısı kurmayı ve bir SSH istemcisini kullanarak ethers-provider2 paket.
Bu müşteri, meşru bir şekilde işlev görürken ssh2 İstemci, ters kabuğu başlatan belirli mesajlar alacak şekilde değiştirilir.
Kritik olarak, bu ters kabuk, ethers-provider2 Paket kaldırılır ve saldırganlar için kalıcılık sağlar.
. ethers-providerz Paketi
. ethers-providerz Aynı kampanyanın bir parçası olan paketin üç sürümü vardı, son iki rulman benzerliği ethers-provider2.
İlk sürüm, fonksiyonel olmayan bileşenlere sahip bir test versiyonu gibi görünüyordu. Kötü niyetli yük, install.js Script dosyalarının dosyalarını yamaya çalışır @ethersproject/providers paket.
Ancak, dosya yolları yanlış tanımlandı ve belirli hedef paketi belirsiz bıraktı.
Yük aynı zamanda kötü niyetli bir loader.js Dosya node_modules aynı uzak sunucudan ikinci aşamayı indiren klasör ethers-provider2ReversingLabs’ın raporunu okur.
Tehdit oyuncusu, kötü amaçlı kod içeren neredeyse aynı sürüme sahip ortak, meşru ve yerel olarak yüklü bir NPM paketini “yamaya” çalışıyor olabilir.
Keşfini takiben ethers-provider2 Ve ethers-providerzaraştırmacılar potansiyel olarak kampanyaya bağlı ek paketler belirlediler: reproduction-hardhat Ve @theoretical123/providers.
Her iki paket de NPM’den çıkarılmıştır. Bu kampanya, hem yazılım üreticileri hem de son kullanıcı kuruluşları için büyüyen yazılım tedarik zinciri risklerini vurgulamaktadır.
2024’te açık kaynaklı depolarda kötü amaçlı yazılımlarda azalmaya rağmen, kötü niyetli aktörler geliştiricilere kötü amaçlı paketlerin dağıtılmasında aktif olarak dahil olmaya devam ediyor.
Bu saldırının, özellikle kalıcılık mekanizması, tedarik zinciri tehditlerini azaltmak için uyanıklık ve sağlam güvenlik önlemlerine duyulan ihtiyacın altını çizmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free