Siber Muhbir

"oscompatible" adlı paket, 9 Ocak 2024'te yayınlandı ve yayından kaldırılmadan önce toplam 380 indirme aldı.

Yazılım tedarik zinciri güvenlik firması Phylum'a göre oscompatible, bir JavaScript dosyasının yanı sıra tek bir yürütülebilir dosya, bir dinamik bağlantı kitaplığı (DLL) ve şifreli bir DAT dosyası da dahil olmak üzere "birkaç garip ikili dosya" içeriyordu.

Bu JavaScript dosyası ("index.js") bir "autorun.bat" toplu komut dosyası yürütür, ancak yalnızca hedef makinenin Microsoft Windows'ta çalışıp çalışmadığını belirlemek için bir uyumluluk denetimi çalıştırdıktan sonra.

Platform Windows değilse, kullanıcıya komut dosyasının Linux veya tanınmayan bir işletim sistemi üzerinde çalıştığını belirten ve "Windows Server OS" üzerinde çalıştırmaya teşvik eden bir hata mesajı görüntüler.

Toplu komut dosyası, yönetici ayrıcalıklarına sahip olup olmadığını doğrular ve değilse, bir PowerShell komutu aracılığıyla "cookie_exporter.exe" adlı meşru bir Microsoft Edge bileşenini çalıştırır.

İkili dosyayı çalıştırmaya çalışmak, hedeften bunu yönetici kimlik bilgileriyle yürütmesini isteyen bir Kullanıcı Hesabı Denetimi (UAC) istemini tetikler.

Bunu yaparken, tehdit aktörü, DLL arama emri ele geçirme adı verilen bir teknikten yararlanarak DLL'yi ("msedge.dll") çalıştırarak saldırının bir sonraki aşamasını gerçekleştirir.

Kitaplığın truva atı haline getirilmiş sürümü, DAT dosyasının ("msedge.dat") şifresini çözmek ve "msedgedat.dll" adlı başka bir DLL başlatmak için tasarlanmıştır ve bu da "kdark1[.] com" bir ZIP arşivi almak için.

ZIP dosyası, AnyDesk uzak masaüstü yazılımının yanı sıra WebSockets aracılığıyla bir komut ve kontrol (C2) sunucusundan talimatlar alabilen ve ana bilgisayardan hassas bilgiler toplayabilen bir uzaktan erişim truva atı ("verify.dll") ile birlikte gelir.

Phylum, "Güvenli Tercihler'e Chrome uzantılarını yükler, AnyDesk'i yapılandırır, ekranı gizler ve Windows'u kapatmayı devre dışı bırakır [ve] klavye ve fare olaylarını yakalar" dedi.

"Oscompatible", kampanyanın bir parçası olarak kullanılan tek npm modülü gibi görünse de, gelişme bir kez daha tehdit aktörlerinin tedarik zinciri saldırıları için açık kaynaklı yazılım (OSS) ekosistemlerini giderek daha fazla hedef aldığının bir işaretidir.

Şirket, "İkili taraftan, verilerin şifresini çözme, imzalamak için iptal edilmiş bir sertifika kullanma, uzak kaynaklardan diğer dosyaları çekme ve yol boyunca kendisini standart bir Windows güncelleme işlemi olarak gizlemeye çalışma süreci, normalde OSS ekosistemlerinde gördüğümüze kıyasla nispeten karmaşıktır" dedi.

Açıklama, bulut güvenlik firması Aqua'nın en çok indirilen ilk 50.000 npm paketinin %21,2'sinin kullanımdan kaldırıldığını ve kullanıcıları güvenlik risklerine maruz bıraktığını açıklamasının ardından geldi. Başka bir deyişle, kullanımdan kaldırılan paketler haftada tahmini 2,1 milyar kez indirilir.

Bu, paketlerle ilişkili arşivlenmiş ve silinmiş GitHub depolarının yanı sıra görünür bir depo, işleme geçmişi ve sorun izleme olmadan tutulanları içerir.

Güvenlik araştırmacıları Ilay Goldman ve Yakir Kadkoda, "Geliştiriciler, güvenlik kusurlarını yamalar veya CVE atamalarıyla ele almak yerine, etkilenen paketleri kullanımdan kaldırmayı tercih ettiklerinde bu durum kritik hale geliyor" dedi.

"Bunu özellikle endişe verici kılan şey, zaman zaman bu bakımcıların paketi resmi olarak npm'de kullanımdan kaldırılmış olarak işaretlememesi ve potansiyel tehditlerden habersiz kalabilecek kullanıcılar için bir güvenlik açığı bırakmasıdır."