“Büyük ölçekli” bir saldırı, kötü amaçlı npm paketleri aracılığıyla Microsoft Azure geliştiricilerini hedefler.
Çarşamba günü, JFrog’daki siber güvenlik araştırmacıları şunları söyledi: yüzlerce kötü amaçlı paket tanımlanmış, geliştiricilerden kişisel verileri çalmak için oluşturulmuştur.
Araştırmacılar Andrey Polkovnychenko ve Shachar Menashe’ye göre, depolar ilk olarak 21 Mart’ta tespit edildi ve birkaç gün içinde yaklaşık 50 kötü amaçlı npm paketinden 200’ün üzerine çıktı.
Npm depolarının koruyucuları, npm’de @azure modüllerinin yanı sıra @azure-rest, @azure-tests, @azure-tools ve @cadl-lang’ı hedefleyen otomatik bir komut dosyası geliştirdi.
Komut dosyası, kapsayıcı hizmetleri, sağlık tarayıcısı, test cihazları ve depolama paketlerini içeren hesapların oluşturulmasından ve npm verilerinin yüklenmesinden sorumludur.
JFrog, yazım hatasının, geliştiricileri kötü amaçlı dosyaları indirmeleri için kandırmak için kullanıldığını iddia ediyor. Yazma sırasında, bu paketler bilgi çalan kötü amaçlı yazılımlar içerir.
Typosquatting, meşru bir hizmetin veya içeriğin kimliğine bürünmek için bir e-posta adresinde, dosyada veya web sitesi adresinde küçük değişikliklerin yapıldığı bir kimlik avı biçimidir. Örneğin, bir saldırgan “your-c” kullanıcılarını hedefleyebilir.Ahmpany.com”, “your-c0mpany.com” ile bir alan adı kaydettirerek. Bu tek harfi görsel olarak benzer başka bir karakterle değiştirerek, saldırgan, kurbanların kaynağın sahte olduğunu fark etmeyeceğini umuyor.
Bu durumda, kötü amaçlı paketler, mevcut bir @azure kapsam paketiyle aynı adla oluşturulur, ancak kapsamı bırakırlar.
yasal sürüm
Kötü amaçlı sürüm
JFrog
Araştırmacılar, “Saldırgan, bazı geliştiricilerin bir paketi kurarken yanlışlıkla @azure önekini atlayabileceği gerçeğine güveniyor” diye açıklıyor. “Örneğin, doğru komut yerine npm install core-tracing’in yanlışlıkla çalıştırılması — npm install @azure/core-tracing”.
Ayrıca, tüm npm paketleri, teşebbüs edilen bağımlılık karışıklığı saldırılarını gösterebilecek yüksek sürüm numaraları aldı.
JFrog, “Bu meşru paketler her hafta on milyonlarca kez indirildiğinden, bazı geliştiricilerin yazım hatası saldırısı tarafından başarılı bir şekilde kandırılması için iyi bir şans var” diye ekliyor.
sağlanan JFrog tam bir liste kötü niyetli npm paketleri şu ana kadar algılandı. Npm sağlayıcıları kötü amaçlı dosyaları kaldırdı, ancak Azure geliştiricileri bu aktörün daha fazla etkinliği için tetikte kalmalıdır.
Kaynak: “ZDNet.com”