Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
Phylum'un yeni bulgularına göre, Node.js deposunda keşfedilen bir dizi sahte npm paketinin Kuzey Kore devlet destekli aktörlerle bağları paylaştığı tespit edildi.
Paketler execution-time-async, data-time-utils, login-time-utils, mongodb-connection-utils ve mongodb-execution-utils olarak adlandırılır.
Söz konusu paketlerden biri olan execution-time-async, haftalık 27.000'den fazla indirmeye sahip bir kütüphane olan meşru muadili execution-time gibi görünüyor. Yürütme süresi, kodda yürütme süresini ölçmek için kullanılan Node.js bir yardımcı programdır.
Phylum, kampanyayı geliştiricileri hedef alan bir yazılım tedarik zinciri saldırısı olarak nitelendirerek, "aslında bir kripto para birimi ve kimlik bilgisi hırsızı da dahil olmak üzere birkaç kötü amaçlı komut dosyası yüklüyor" dedi. Paket, kaldırılmadan önce 4 Şubat 2024'ten bu yana 302 kez indirildi.
İlginç bir şekilde, tehdit aktörleri, uzak bir sunucudan sonraki aşama yüklerini almak, Brave, Google Chrome ve Opera gibi web tarayıcılarından kimlik bilgilerini çalmak ve sırayla diğer komut dosyalarını indiren bir Python komut dosyası almak için tasarlanmış bir test dosyasında gizlenmiş kötü amaçlı kodu gizlemek için çaba sarf etti.
- ~/.n2/pay, rastgele komutları çalıştırabilir, ~/.n2/bow ve ~/.n2/adc'yi indirip başlatabilir, Brave ve Google Chrome'u sonlandırabilir ve hatta kendini silebilir
- ~/.n2/bow, Python tabanlı bir tarayıcı şifre hırsızıdır
- ~/.n2/adc, AnyDesk'i Windows'a yükler
Phylum, kaynak kodunda ("/Users/ninoacuna/") File-Uploader adlı bir depo içeren aynı ada ("Nino Acuna" veya binaryExDev) sahip şimdi silinmiş bir GitHub profilinin izini sürmeyi mümkün kılan yorumları tespit ettiğini söyledi.
Depoda aynı IP adreslerine atıfta bulunan Python komut dosyaları vardı (162.218.114[.] 83 – daha sonra 45.61.169 olarak değiştirildi[.] 99) yukarıda belirtilen Python betiklerini getirmek için kullanılır.
Saldırının devam eden bir çalışma olduğundan şüpheleniliyor, çünkü aynı özelliklere sahip en az dört paket daha npm paket deposuna girdi ve toplam 325 indirme çekti -
- data-time-utils - 15 Şubat'tan itibaren 52 indirme
- login-time-utils - 15 Şubat'tan itibaren 171 indirme
- mongodb-connection-utils - 19 Şubat'tan itibaren 51 indirme
- mongodb-execution-utils - 19 Şubat'tan itibaren 51 indirme
Kuzey Koreli Aktörlerle Bağlantılar Ortaya Çıkıyor#
BinaryExDev'in takip ettiği iki GitHub hesabını da analiz eden Phylum, mave-finance-org/auth-playground olarak bilinen ve diğer hesaplar tarafından en az bir düzine kez çatallanan başka bir depoyu ortaya çıkardı.
Bir depoyu kendi içinde çatallamak alışılmadık bir durum olmasa da, bu çatallı depoların bazılarının alışılmadık bir yönü, "auth-demo" veya "auth-challenge" olarak yeniden adlandırılmalarıydı ve bu da orijinal deponun bir iş görüşmesi için bir kodlama testinin parçası olarak paylaşılmış olabileceği olasılığını artırdı.
Depo daha sonra banus-finance-org/auth-sandbox, Dexbanus-org/live-coding-sandbox ve mave-finance/next-assessment adreslerine taşındı ve GitHub'ın yayından kaldırma girişimlerini aktif olarak aşma girişimlerini gösterdi. Tüm bu hesaplar kaldırıldı.
Dahası, sonraki değerlendirme paketinin npm kayıt defterinde listelenmeyen, bunun yerine doğrudan npm.mave[.] etki alanından sunulan bir "json-mock-config-server" bağımlılığı içerdiği bulundu. maliye.
Banus'un Hong Kong merkezli merkezi olmayan bir kalıcı spot borsa olduğunu iddia ettiğini ve şirketin 21 Şubat 2024'te kıdemli bir ön uç geliştirici için bir iş fırsatı bile yayınladığını belirtmekte fayda var. Şu anda bunun gerçek bir iş ilanı mı yoksa ayrıntılı bir sosyal mühendislik planı mı olduğu belli değil.
Kuzey Koreli tehdit aktörleriyle olan bağlantılar, npm paketine gömülü gizlenmiş JavaScript'in, benzer bir mekanizma aracılığıyla yayılan BeaverTail adlı başka bir JavaScript tabanlı kötü amaçlı yazılımla örtüşmesi gerçeğinden kaynaklanmaktadır. Kampanya, Kasım 2023'te Palo Alto Networks Unit 42 tarafından Bulaşıcı Röportaj olarak kodlandı.
Palo Alto Networks Unit 42'nin başkan yardımcısı ve CTO'su Michael Sikorski, o sırada verdiği demeçte, Contagious Interview'ın Lazarus Group'a bağlı olan Operation Dream Job'dan biraz farklı olduğunu, çünkü esas olarak serbest iş portallarında sahte kimlikler aracılığıyla geliştiricileri sahte npm paketleri yüklemeleri için kandırmaya odaklandığını söyledi.
Kampanyanın kurbanı olan geliştiricilerden biri, o zamandan beri Phylum'a, deponun canlı bir kodlama röportajı kisvesi altında paylaşıldığını doğruladı, ancak sistemlerine hiç yüklemediklerini söylediler.
Şirket, "Hem bireysel geliştiricilerin hem de yazılım geliştirme kuruluşlarının açık kaynak kodundaki bu saldırılara karşı tetikte olmaları her zamankinden daha önemli" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya