“CuteBoi” Kripto Madenciliği Kampanyasında 1200’den Fazla NPM Paketi Bulundu

Araştırmacılar, NPM JavaScript paket deposunu hedefleyen yeni bir büyük ölçekli kripto para madenciliği kampanyasını açıkladılar.

Bir yazılım tedarik zinciri tehdit aktörüne atfedilen kötü niyetli etkinlik SevimliBoi1000’den fazla farklı kullanıcı hesabından otomatik bir şekilde yayınlanan 1.283 hileli modül dizisini içerir.

İsrailli uygulama güvenlik test şirketi Checkmarx, “Bu, NPM 2FA mücadelesini geçme yeteneğini içeren otomasyon kullanılarak yapıldı” söz konusu. “Bu paket kümesi, bu noktada deney yapan bir saldırganın parçası gibi görünüyor.”

Söz konusu piyasaya sürülen tüm paketlerin, web sunucularında kullanılmayan kaynakları kullanarak Monero madenciliği yapmak için kullanılan eazyminer adlı zaten mevcut bir paketten neredeyse aynı kaynak kodunu barındırdığı söyleniyor.

Dikkate değer bir değişiklik, mayınlı kripto para biriminin gönderileceği URL’yi içerir, ancak hileli modüllerin yüklenmesi olumsuz bir etki yaratmaz.

“Kopyalanan kod eazyminer araştırmacı Aviad Gershon, “Saldırgan, kodun bu özelliğini değiştirmedi ve bu nedenle kurulum sırasında çalışmayacak” dedi. “

Bu yılın başlarında RED-LILI durumunda gözlemlendiği gibi, paketler, tehdit aktörünün iki faktörlü kimlik doğrulama (2FA) korumalarını yenmesine izin veren bir otomasyon tekniği ile yayınlanıyor.

Bununla birlikte, ilki özel bir sunucu kurmayı ve programlı olarak bir NPM kullanıcı hesabı oluşturmak ve 2FA’yı yenmek için Selenium ve Interactsh gibi araçların bir kombinasyonunu kullanmayı içeriyor olsa da, CuteBoi tek kullanımlık bir e-posta hizmetine güveniyor. mail.tm.

Ücretsiz platform ayrıca bir REST API’si“programların tek kullanımlık posta kutularını açmasına ve basit bir API çağrısı ile kendilerine gönderilen alınan e-postaları okumasına olanak sağlayarak”, tehdit aktörünün bir kullanıcı hesabı oluştururken 2FA mücadelesini atlatmasına olanak tanır.

Bulgular, aşağı akışlı mobil uygulamalara ve web sitelerine gömülü formlardan hassas verileri toplamak için tasarlanmış IconBurst adlı NPM ile ilgili başka bir yaygın yazılım tedarik zinciri saldırısıyla örtüşüyor.