Bu hafta Düğüm Paket Yöneticisi (npm) deposunda oldukça karmaşık kötü amaçlı Python ve JavaScript kodu içeren dört paket keşfedildi.
göre bildiri
Kaspersky’den gelen kötü amaçlı paketler, “Volt Stealer” ve “Lofy Stealer” kötü amaçlı yazılımlarını yayarak kurbanlarından Discord jetonları ve kredi kartı bilgileri de dahil olmak üzere bilgi toplar ve zaman içinde onları gözetler.
Volt Stealer çalmak için kullanılır Anlaşmazlık belirteçleri ve insanların IP adreslerini virüslü bilgisayarlardan toplayın ve daha sonra HTTP aracılığıyla kötü niyetli aktörlere yüklenir.
Yeni geliştirilen bir tehdit olan Lofy Stealer, Discord istemci dosyalarına bulaşabilir ve kurbanın eylemlerini izleyebilir. Örneğin, kötü amaçlı yazılım, bir kullanıcının oturum açtığını, e-posta veya parola ayrıntılarını değiştirdiğini veya çok faktörlü kimlik doğrulamayı (MFA) etkinleştirdiğini veya devre dışı bıraktığını algılar. Ayrıca, bir kullanıcının ne zaman yeni ödeme yöntemleri eklediğini izler ve tüm kredi kartı bilgilerini toplar. Toplanan bilgiler daha sonra uzak bir uç noktaya yüklenir.
Paket adları “small-sm”, “pern-valids”, “lifeculer” ve “proc-title” şeklindedir. npm onları depodan kaldırmış olsa da, onları daha önce indirmiş olan herhangi bir geliştiricinin uygulamaları bir tehdit olmaya devam ediyor.
Discord Jetonlarını Hackleme
Discord’u hedeflemek çok fazla erişim sağlar çünkü çalınan Discord jetonları kurbanların arkadaşlarına yönelik mızraklı kimlik avı girişimleri için kullanılabilir. Ancak, Fortinet’in FortiGuard Laboratuvarları’nda güvenlik baş stratejisti ve küresel tehdit istihbaratı başkan yardımcısı Derek Manky, saldırı yüzeyinin, multimedya iletişim platformunu kullanımlarına bağlı olarak, elbette, kuruluşlar arasında farklılık göstereceğine dikkat çekiyor.
“Tehdit seviyesi, bu vektörlerle ilişkili saldırı yüzeyi etrafındaki bu kavramlar nedeniyle geçmişte gördüğümüz gibi – örneğin Log4j – bir Katman 1 salgını kadar yüksek olmayacaktı” diye açıklıyor.
Discord kullanıcılarının kendilerini bu tür saldırılardan koruma seçenekleri vardır: “Tabii ki, hedeflenen herhangi bir uygulama gibi, öldürme zincirini kapatmak, risk ve tehdit seviyesini azaltmak için etkili bir önlemdir” diyor Manky.
Bu, Discord’un kullanıcı profillerine, ağ segmentasyonuna ve daha fazlasına göre uygun kullanımı için ayarlanmış politikalara sahip olmak anlamına gelir.
Neden npm Yazılım Tedarik Zinciri Saldırılarını Hedefliyor?
Npm yazılım paketi deposu 11 milyondan fazla kullanıcıya ve barındırdığı paketlerin on milyarlarca indirilmesine sahiptir. Hem deneyimli Node.js geliştiricileri hem de diğer etkinliklerin bir parçası olarak rastgele kullanan kişiler tarafından kullanılır.
Açık kaynak npm modülleri, hem Node.js üretim uygulamalarında hem de Node.js’yi kullanmayacak uygulamalar için geliştirici araçlarında kullanılır. Bir geliştirici, bir uygulama oluşturmak için yanlışlıkla kötü amaçlı bir paket çekerse, bu kötü amaçlı yazılım, o uygulamanın son kullanıcılarını hedef almaya devam edebilir. Bu nedenle, bunun gibi yazılım tedarik zinciri saldırıları, tek bir şirketi hedef almaktan daha az çabayla daha fazla erişim sağlar.
Bir sağlayıcı kodu güvenlik çözümleri olan BluBracket’in ürün ve geliştirici etkinleştirme başkanı Casey Bisson, “Geliştiriciler arasında her yerde bulunan bu kullanım onu büyük bir hedef haline getiriyor” diyor.
Bisson, Npm’nin yalnızca çok sayıda hedefe bir saldırı vektörü sağlamadığını, aynı zamanda hedeflerin son kullanıcıların ötesine geçtiğini söylüyor.
“Kurumlar ve bireysel geliştiricilerin her ikisi de genellikle ortalama nüfustan daha fazla kaynağa sahiptir ve bir geliştiricinin makinesinde veya kurumsal sistemlerinde bir köprübaşı kazandıktan sonra yapılan yanal saldırılar da genellikle oldukça verimlidir” diye ekliyor.
Kapsayıcılar için güvenlik ve gözlemlenebilirlik sağlayıcısı Tigera’da kıdemli güvenlik araştırmacısı olan Garwood Pang, npm’nin JavaScript için en popüler paket yöneticilerinden birini sağlamasına rağmen, herkesin nasıl kullanılacağı konusunda bilgili olmadığına dikkat çekiyor.
“Bu, geliştiricilerin kodlarını geliştirmek için büyük bir açık kaynak paket kitaplığına erişmesine izin veriyor” diyor. “Ancak, kullanım kolaylığı ve listeleme miktarı nedeniyle, deneyimsiz bir geliştirici, kötü niyetli paketleri bilgisi olmadan kolayca içe aktarabilir.”
Yine de kötü niyetli bir paketi tanımlamak kolay bir iş değil. Synopsys Siber Güvenlik Araştırma Merkezi’nde baş güvenlik stratejisti olan Tim Mackey, tipik bir NodeJS paketini oluşturan çok sayıda bileşenden bahsediyor.
“Aynı soruna birçok farklı meşru çözüm olduğunda, herhangi bir işlevin doğru uygulamalarını belirleyebilmek zorlaşıyor” diyor. “Daha sonra diğer bileşenler tarafından referans alınabilecek kötü amaçlı bir uygulama ekleyin ve herkesin seçtikleri bileşenin kutuda yazanı yapıp yapmadığını ve istenmeyen bir şey içermediğini veya bunlara atıfta bulunup bulunmadığını belirlemesinin zor olduğu bir tarifiniz var. işlevsellik.”
Npm’den Daha Fazlası: Yazılım Tedarik Zinciri Saldırıları Yükselişte
Büyük tedarik zinciri saldırılarının, saldırı yüzeylerini izlemek için planlanan daha fazla yatırımla, yazılım güvenliği farkındalığı ve karar verme üzerinde önemli bir etkisi oldu.
Mackey, özellikle alışveriş sepetleri veya geliştirme araçları gibi çerçeveleri hedefleyen saldırılara bakıldığında, yazılım tedarik zincirlerinin her zaman hedef olduğuna dikkat çekiyor.
“Son zamanlarda gördüğümüz şey, kötü amaçlı yazılım veya veri ihlali olarak sınıflandırmak için kullandığımız saldırıların gerçekte kuruluşların hem oluşturdukları hem de tükettikleri yazılıma duydukları güveni tehlikeye attığının kabulüdür” diyor.
Mackey ayrıca birçok kişinin bir satıcı tarafından oluşturulan yazılımın tamamen o satıcı tarafından yazıldığını varsaydığını, ancak gerçekte Log4j fiyaskosuyla ortaya çıktığı gibi, en basit yazılımı bile oluşturan yüzlerce üçüncü taraf kitaplığı olabileceğini söylüyor.
“Bu kütüphaneler, uygulama için yazılım tedarik zinciri içinde etkin bir şekilde tedarikçilerdir, ancak herhangi bir tedarikçiyi kullanma kararı, iş risklerine odaklanan bir iş adamı tarafından değil, bir özellik sorununu çözen bir geliştirici tarafından verildi” diyor.
Bu, yazılım malzeme listelerinin (SBOM’ler) uygulanması için çağrılara yol açtı. Ve Mayıs ayında, MITRE, yazılım dahil olmak üzere tedarik zinciri üzerindeki riskleri ve güvenlik endişelerini tanımlayan ve ölçen bilgi ve iletişim teknolojisi (BİT) için bir prototip çerçevesi başlattı.