Npm açık kaynak kod deposundaki kötü amaçlı bir paket, dünya çapında milyonlarca uygulama geliştiricisinin kullandığı “Tailwind” meşru yazılım kitaplığı aracında bir sosyal mühendislik yolculuğuna çıkıyor. Tehdit aktörleri, açık kaynaklı yazılımları kötü amaçlı yazılımlarla tohumlama fırsatlarını görmeye devam ederken, bulgu ortaya çıkıyor.
Tehdit aktörleri, kötü amaçlı paketi “Material Tailwind” olarak markalıyor ve onu “Tailwind CSS ve Material Design için kullanımı kolay bir bileşen kitaplığı”, her biri milyonlarca indirmeye sahip, yaygın olarak kullanılan iki açık kaynak kitaplığı olarak tanımlıyor. bulundu.
Tailwind, öğeler için önceden tanımlanmış sınıflar sağlamayan açık kaynaklı bir CSS çerçevesi iken Material Design, ızgara tabanlı düzenler, duyarlı animasyonlar ve diğer görsel efektleri kullanan bir tasarım dilidir. Firmaya göre, her ikisi de “geliştiriciler arasında tanınabilir isimler ve çok popüler kütüphanelerdir”.
Bununla birlikte, araştırmacılar, Material Tailwind’in geliştiricilere hiç yardımcı olmadığını açıkladı bir gönderide 22 Eylül’de yayınlandı. Bunun yerine, PowerShell komut dosyalarını çalıştırabilen kötü amaçlı, özel paketlenmiş bir Windows yürütülebilir dosyasını indiren, bu tür kötü amaçlı yazılımlar için nadir görülen çok aşamalı bir saldırı gerçekleştirir.
ReversingLabs’ta tersine mühendis olan Karlo Zanki, gönderide, “Bu vakaların çoğunda, söz konusu kötü amaçlı yazılım, nadiren gizlenen oldukça basit bir JavaScript kodudur” dedi. “Materyal Tailwind gibi gelişmiş çok aşamalı kötü amaçlı yazılım örnekleri hala nadir bulunan bir bulgu.”
ReversingLabs’teki araştırmacılar, sözde kitaplık değişikliği JavaScript Obfuscator ile karıştırılmış kod içerdiğinden kötü amaçlı davranışı tespit etti. Ayrıca, paketin açıklaması yeterince meşru görünse de, daha yakından incelendiğinde, paketin başka bir npm paketinden kopyalandığı ortaya çıktı. tailwindcss-uyarıcı-bileşenleridediler, hangi tehdit aktörleri daha sonra Truva atladı.
Zanki, “Tehdit aktörü, orijinal paketin adını Material Tailwind ile değiştirmek için tüm metni ve kod parçacıklarını değiştirmeye özel özen gösterdi.” “Kötü amaçlı paket, orijinal paketin sağladığı tüm işlevleri de başarıyla uygular.”
Saldırı Nasıl Çalışır?
Zanki, ReversingLabs araştırmacıları, şüpheli komut dosyasının gizliliğini kaldırarak Malzeme Tailwind’i ayrıntılı olarak analiz etti, paket yüklendikten hemen sonra yürütülüyor – tehdit araştırmacıları için başlı başına “(büyük) bir kırmızı bayrak” olan davranış.
Paket yüklendikten sonra modül, bir Win32 sisteminde yürütüldüğünü doğrulamak için önce belirli bir IP adresine platform bilgileri içeren bir POST isteği gönderir. Eğer öyleyse, işletim sisteminin türünü içeren bir indirme bağlantısı oluşturur ve ayrıca, araştırmacıların bulduğuna göre, indirme talebinin kurbanın makinesinden geldiğini doğrulamak için kullanılan bir parametre de ekler.
Zanki, DiagnosticsLogger.zip adlı parola korumalı bir .zip arşivinin indirildiğini ve DiagnosticsHub.exe adlı tek bir dosyanın yüklendiğini ve muhtemelen yükü bir tür teşhis aracı olarak gizlediğini belirtti. Saldırganlar muhtemelen temel antivirüs kontrollerinden kaçınmak için şifre koruması kullanıyor, dedi.
Zanki, son olarak, komut dosyasının indirilen dosyayı yürüten bir alt süreç, özel olarak paketlenmiş, analiz etmeyi zorlaştırmayı amaçlayan çeşitli korumalar kullanan bir Windows yürütülebilir dosyası oluşturduğunu söyledi.
Araştırmacılar, paketlenmiş bilgilerin komuta ve kontrol, iletişim ve süreç manipülasyonundan sorumlu birkaç PowerShell kod parçacığını içerdiğini buldu. Kötü amaçlı yazılım, günlük olarak yürütülecek zamanlanmış bir görev ayarlayan Base64 ile kodlanmış bir PowerShell komutu yürüterek kalıcılık sağlar.
Kötü amaçlı kodun ikinci aşaması, herkese açık bir Google Drive bağlantısından veya bağlantıya erişilemiyorsa, iki alternatif indirme konumundan birinden XOR şifreli ve Base64 kodlu bir dosya getirir — araştırmacılar, biri GitHub’da ve diğeri OneDrive’da bulundu.
Yayınlanma sırasında, şifrelenmiş dosya, kötü amaçlı yazılımın özel bir soket bağlantısı kullanarak şifreli talimatları aldığı komut ve kontrol sunucusunun konumu olan tek bir IP adresi içerir.
Açık Kaynak Kodunu Silahlandırmak
Özellikle açık kaynaklı yazılımlar ve npm paketleri, yazılım tedarik zincirine karşı kolaylıkla silahlandırılabilmeleri nedeniyle son zamanlarda tehdit aktörlerinin tercih hedefi haline geldi. Aslında, Zanki’ye göre, açık kaynak koduna kötü amaçlı yazılım yerleştirmek, en hızlı büyüyen yazılım tedarik zinciri saldırı türlerinden biridir.
Synopsys Siber Güvenlik Araştırma Merkezi’nin baş güvenlik stratejisti Tim Mackey, bu tür saldırıların aynı zamanda işletmeleri ortamlarını nasıl güvence altına alacakları konusunda dönmeye zorladığını belirtiyor.
“Yakın zamana kadar, kuruluşlar yalnızca uygulamalarında istemeden açık kaynak bileşenleri ve bağımlılıkları aracılığıyla devralınan güvenlik açıklarıyla uğraşmak zorunda kaldılar – bu başlangıçta önemsiz bir iş değildi” diyor. “Artık saldırganlar, kötü niyetli amaçlarla değiştirilmiş açık kaynak paketleri kullanmak için kuruluşları kandırıyor.”
Npm paketleri, yazılım tedarik zinciri saldırıları için çekici bir kanaldır “kısmen NodeJS uygulamalarını oluşturmak için kullanılan açık kaynak bileşenlerinin ve bağımlılıkların çokluğu nedeniyle” diye gözlemledi.
Uygulama güvenliği sağlayıcısı nVisium’da siber güvenlik danışmanı olan Ben Pick, bu bağımlılıkların gerçekten de işletmeler için güvenlik risklerini artırdığını ve şu anda kaynaklardaki sorunların ne kadar hızlı çoğalabileceği konusunda önemli bir zorluk olduğunu belirtiyor.
“Dolayısıyla, bir saldırganın önemli ölçüde zarar vermek için bir boru hattındaki birçok açık kaynaklı projeden birini hedef alması ve tehlikeye atması yeterli olacaktır” diye gözlemliyor.
Yazılım Tedarik Zinciri: Çoklu Siber Saldırı Seçenekleri
Npm paketlerinden yararlanan saldırganlar, açık kaynak depolarını nasıl kullandıkları konusunda yaratıcı oluyorlar.
Şubat ayında yayınlanan bir rapor, 2021’de saldırganların kripto hırsızlığı ve veri hırsızlığı da dahil olmak üzere bir dizi hain faaliyete girişmesine izin veren 1.300’den fazla kötü amaçlı npm paketi tanımladı. Araştırmacılar, insanları onları yüklemeleri için kandırma açısından, bazı paketlerin güvenlik araştırması için araçlar gibi göründüğünü buldu.
Saldırganların npm paketlerini kullandığı son saldırılardan iki örnek Temmuz ayında ortaya çıktı. 5 Temmuz’da bildirilen ilk saldırı, Nisan ayında gerçek işlevlerini gizlemek için JavaScript gizlenici kullanan birkaç paketin keşfedilmesinden sonra uzun menzilli bir tedarik zinciri saldırısını ortaya çıkardı.
29 Temmuz’da bildirilen bir diğerinde, saldırganlar, kurbanlarından Discord belirteçleri ve kredi kartı bilgileri de dahil olmak üzere bilgi toplamak için “Volt Stealer” ve “Lofy Stealer” kötü amaçlı yazılımını yaymak için yüksek oranda gizlenmiş kötü niyetli Python ve JavaScript kodu içeren dört npm paketi kullandılar. zaman içinde onları gözetlemenin yanı sıra.