Araştırmacılar, piyasaya sürülen paketlerin sayısı 700’ü aşarak, kötü niyetli npm paketleri dalgasını araştırmaya devam ediyor.
Geçen hafta, JFrog’daki araştırmacılar bir kampanya ortaya çıkardı bilinmeyen bir tehdit aktörünün en az 200 kötü amaçlı Düğüm Paket Yöneticisi (npm) paketi yayınladığı. Ekip, mevduatların ilk olarak 21 Mart’ta tespit edildiğini ve hızla çoğaldığını söyledi. Her npm paketi kasıtlı olarak meşru yazılımı taklit edecek şekilde adlandırılmıştır.
npm paket yöneticisinde @azure, @azure-rest, @azure-tests ve diğerleri dahil olmak üzere Microsoft Azure geliştiricileri tarafından kullanılan otomatik bir betik hedefli paketler.
Beklenenden daha geniş bir kampanya
Pazartesi günü, Checkmarx araştırmacıları Aviad Gershon ve Jossef Harush, ekiplerinin de bu faaliyetleri takip ettiğini ve beş gün içinde 600’den fazla kötü amaçlı paket kaydettiğini ve toplamın 700’ün üzerine çıktığını söyledi.
Saldırgan, saldırıları radar altında tutmaya çalışmak için benzersiz kullanıcı hesapları kullandı.
Checkmarx, “Bu, gördüğümüz otomatik saldırılar için yaygın değildir, genellikle saldırganlar tek bir kullanıcı oluşturur ve saldırılarını buna yönlendirir” diye açıklıyor. “Bu davranıştan, saldırganın kullanıcı kaydı da dahil olmak üzere uçtan uca bir otomasyon süreci oluşturduğu sonucuna varabiliriz.”
Checkmarx’a göre saldırgan, geliştiricileri başarılı bir şekilde kandırmak ve verilerini çalmak için bağımlılık karışıklığına dayanan kötü niyetli npm paketleri geliştiriyor.
JFrog tarafından daha önce belirtildiği gibi, saldırı yöntemi yazım hatalarına ve güvenilir paketleri taklit eden adlara dayanır, genellikle bir paketin adının “kapsam” kısmını çıkarır, böylece görünümü yasal olur.
Saldırı dalgası altyapısını yönetmek için kullanılan komuta ve kontrol (C2) sunucusu, “rt11[.]ml”, ayrıca gönderilecek çalınan bilgilerin alıcısının adresidir. C2, veri madenciliği için Go programlama dilinde yazılmış açık kaynaklı bir araç olan Interactsh’ı çalıştırıyor gibi görünüyor.
Checkmarx, saldırganın yöntemini daha iyi anlamak için bir Interactsh istemcisi ile kendi etki alanını ve sunucusunu kurdu. Ardından, SeleniumLibrary web test yazılımı kullanılarak talep üzerine NPM hesaplarını açan bir komut dosyası yazılmıştır. Komut dosyası, test alanı altında rastgele kullanıcı adları ve e-posta adresleri oluşturabilir ve kayıt işlemini otomatik olarak başlatabilir.
Interactsh’ın devreye girdiği yer burasıdır. NPM tarafından kullanılan tek seferlik parola doğrulama kontrolünü atlamak için, Interactsh parolayı otomatik olarak çıkarır ve kayıt formuna geri göndererek hesap oluşturma isteğinin başarılı olmasına izin verir.
Ekip daha sonra bir npm paket şablonu ve “bağlanma” ve “yayınlama” aşamalarında npm yardımcı programları ile iletişim kurabilecek bir komut dosyası oluşturarak saldırganın yöntemini izledi.
Seri gönderiler
Araştırmacılar, “Kullanıcı hesabı açıldıktan sonra, bir paket yayınlamak için tek kullanımlık şifre gerektirmeyen bir şekilde yapılandırmanın mümkün olduğunu belirtmek gerekir” dedi. “Bu, bir kimlik doğrulama belirteci kullanılarak ve 2FA olmadan çalışacak şekilde yapılandırılarak yapılabilir. Kötü niyetli paket patlamaları bırakan saldırganların, açıklanan mekanizmayı kurmadan işlemlerini bu şekilde otomatikleştirebildiğinden şüpheleniyoruz.
Checkmarx, JFrog ile birlikte kötü amaçlı paketleri NPM’nin güvenlik ekibine bildirdi. Ayrıca C2 sunucusunu sağlayan şirkete de bilgi verildi.
Checkmarx, “Saldırgan, paketleri birden fazla kullanıcı adına dağıtarak, savunucuların hepsini ‘tek atışta’ kaldırmasını zorlaştırıyor” diyor. “Bunda, elbette, enfeksiyon olasılığını artırıyor. Açık olmak gerekirse, paket başına tek bir kullanıcı oluşturmak için gereken temeller önemsiz bir iş değil.”
Kaynak: “ZDNet.com”