Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Siber güvenlik araştırmacıları, Ethereum özel anahtarlarını toplamak ve güvenli kabuk (SSH) protokolü aracılığıyla makineye uzaktan erişim sağlamak için tasarlanmış, npm kayıt defterinde yayınlanan bir dizi şüpheli paket keşfetti.
Yazılım tedarik zinciri güvenlik şirketi Phylum, geçen hafta yayınlanan bir analizde, paketlerin "saldırganın SSH genel anahtarını kök kullanıcının authorized_keys dosyasına yazarak kurbanın makinesine SSH erişimi elde etmeye" çalıştığını söyledi.
Kampanya kapsamında belirlenen ve meşru ethers paketini taklit etmeyi amaçlayan paketlerin listesi aşağıdaki gibidir:
- ethers-mew (62 indirme)
- ethers-web3 (110 indirme)
- ethers-6 (56 indirme)
- ethers-eth (58 indirme)
- ethers-aaa (781 indirme)
- ethers-audit (69 indirme)
- eter testi (336 indirme)
Birçoğu "crstianokavic" ve "timyorks" adlı hesaplar tarafından yayınlanan bu paketlerden bazılarının, üzerinde çok az değişiklik olması nedeniyle test amaçlı yayınlandığına inanılıyor. Listedeki en yeni ve en eksiksiz paket ethers-mew'dir.
Bu, npm kayıt defterinde benzer işlevselliğe sahip hileli paketlerin ilk keşfi değil. Ağustos 2023'te Phylum, kötü niyetli bir bağımlılık sunarak kullanıcıların özel anahtarlarını Çin'deki bir sunucuya sızdıran popüler bir kripto para kitaplığının bir yazım hatası olan ethereum-cryptographyy adlı bir paketi detaylandırdı.
.jpg)
En son saldırı kampanyası, kötü amaçlı kodun doğrudan paketlere yerleştirilmesi ve tehdit aktörlerinin Ethereum özel anahtarlarını "ether-sign[.]com" onların kontrolü altında.
Bu saldırıyı çok daha sinsi yapan şey, geliştiricinin paketi kodlarında gerçekten kullanmasını gerektirmesidir - örneğin, içe aktarılan paketi kullanarak yeni bir Cüzdan örneği oluşturmak gibi - kötü amaçlı yazılımın yürütülmesini tetiklemek için paketi yüklemenin yeterli olduğu tipik olarak gözlemlenen durumların aksine.
Ek olarak, ethers-mew paketi, saldırgana ait bir SSH anahtarı eklemek ve onlara güvenliği ihlal edilmiş ana bilgisayara kalıcı uzaktan erişim sağlamak için "/root/.ssh/authorized_keys" dosyasını değiştirme yetenekleriyle birlikte gelir.
Phylum, "Tüm bu paketler, yazarların hesaplarıyla birlikte, yalnızca çok kısa bir süre için açıktı, görünüşe göre yazarların kendileri tarafından kaldırıldı ve silindi" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
0 Yorum
Yorum Gönder
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya