Siber Muhbir

Warbeast2000 ve kodiak2k adlı modüller ayın başında yayınlandı ve npm bakımcıları tarafından kaldırılmadan önce 412 ve 1.281 indirme aldı. En son indirmeler 21 Ocak 2024'te gerçekleşti.

Keşfi yapan yazılım tedarik zinciri güvenlik firması ReversingLabs, warbeast2000'in sekiz farklı sürümü ve kodiak2k'nin 30'dan fazla sürümü olduğunu söyledi.

Her iki modül de kurulumdan sonra yükleme sonrası bir komut dosyası çalıştıracak şekilde tasarlanmıştır ve her biri farklı bir JavaScript dosyası alıp yürütebilir.

Warbeast2000 özel SSH anahtarına erişmeye çalışırken, kodiak2k "miyav" adlı bir anahtarı aramak için tasarlanmıştır ve bu da tehdit aktörünün geliştirmenin ilk aşamalarında muhtemelen bir yer tutucu adı kullanma olasılığını artırır.

Güvenlik araştırmacısı Lucija Valentić, warbeast2000 hakkında "Bu ikinci aşama kötü amaçlı komut dosyası, /.ssh dizininde bulunan id_rsa dosyasında depolanan özel SSH anahtarını okuyor" dedi. "Daha sonra Base64 ile kodlanmış anahtarı saldırgan tarafından kontrol edilen bir GitHub deposuna yükledi."

Kodiak2k'nin sonraki sürümlerinin, Empire sömürü sonrası çerçevesini barındıran arşivlenmiş bir GitHub projesinde bulunan bir komut dosyasını yürüttüğü bulundu. Komut dosyası, kimlik bilgilerini işlem belleğinden boşaltmak için Mimikatz bilgisayar korsanlığı aracını başlatma yeteneğine sahiptir.

Valentić, "Kampanya, geliştirme kuruluşlarını ve son kullanıcı kuruluşlarını hedef alan kötü amaçlı yazılım tedarik zinciri kampanyalarını desteklemek için açık kaynaklı paket yöneticilerini ve ilgili altyapıyı kullanan siber suçluların ve kötü niyetli aktörlerin en son örneğidir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.