DevOps güvenlik firması JFrog, kötü amaçlı yazılım yazarları tarafından rakiplerini hedef almak için geliştirilmiş gibi görünen kötü amaçlı npm paketleri keşfetti.
22 Şubat, JFrog siber güvenlik araştırmacıları Andrey Polkovnychenko ve Shachar Menashe, şirketin tarayıcıları tarafından yakın zamanda 25 Node Package Manager (npm) zararlı paketinin tespit edildiğini açıkladı. Bu paketlerin çoğu, kullanıcılarının Discord kimlik doğrulama jetonlarını çalmayı amaçlıyordu.
Bir saldırgan bu belirteçleri çalmayı başarırsa, bunları bir kurbanın hesabına sızmak için kullanabilir. Ayrıca yeraltı suç pazarlarında satılabilen değerli varlıklar olabilirler.
Colors.js
Ekip, birçok kötü amaçlı paketin Marak Squires tarafından geliştirilen açık kaynaklı bir yazılım olan color.js npm paketini taklit ettiğini açıklıyor. Renkler.js. node.js’de renkli metin uygulamak için bir paket, yaratıcısı tarafından Ocak ayında sabote edildi ve on binlerce JavaScript programını bir anda çökertti.
JFrog, “Bu kamuflaj büyük olasılıkla color.js’nin npm’de en çok yüklenen paketlerden biri olmasından kaynaklanıyor,” diyor.
Ek olarak, Python uzaktan kod enjektörleri ve çevresel değişken hırsızlığı araçları dahil olmak üzere başka paketler de bulundu.
Lemaaa
Bildirilen paketler npm sahipleri tarafından “hızlı bir şekilde” kaldırılırken, özellikle bir paket JFrog’un dikkatini çekti. Araştırmacılara göre “Lemaaa” olarak adlandırılan bu kütüphane, “kötü niyetli aktörler tarafından Discord hesaplarını manipüle etmek için kullanılması amaçlanan” bir kütüphanedir.
Lemaaa, bir Discord belirteci sağlandığında, bot listesi işlevleri, arkadaş kaldırma, parola doğrulama, yedek kod girişi ve ayrıca fatura bilgilerini çalma gibi yardımcı programları içerir.
Resim: JFrog.
Modülün kodu gizlidir ve bu, kötü niyetli hedefleri göz önüne alındığında sürpriz değildir. Ancak, Lemaaa’nın kodunu inceledikten sonra araştırmacılar, paketin kütüphaneye sağlanan Discord belirteçlerini ele geçirmek ve onları Lemaaa geliştiricisine aktarmak için değiştirildiğini keşfetti.
Her gün bildirilen düzinelerce yeni kötü amaçlı paket
Npm dünya çapında milyonlarca geliştirici tarafından kullanıldığından, kötü niyetli npm paketlerinin tespitinin devam etmesi ve potansiyel olarak zamanla artması bekleniyor.
Araştırmacılar, “Npm tarayıcılarımız tarafından her gün işaretlenen düzinelerce yeni kötü amaçlı paket gördüğümüz için bu eğilimin yalnızca artacağına inanıyoruz” diyor.
Aralık ayında JFrog, Discord belirteçlerini çalmak için tasarlanmış 17 kötü amaçlı npm paketi keşfetti. Bu paketler, hesap kimlik bilgilerini ele geçirerek saldırganların bir Discord sunucusunun kontrolünü ele geçirmesine izin veriyordu.
Kaynak: ZDNet.com