Tehdit aktörleri, npm açık kaynak paket deposunu, kısa bir süre hizmet reddi (DoS) saldırısıyla sonuçlanan sahte paketlerle dolduruyor.
Checkmarx’tan Jossef Harush Kadouri, “Tehdit aktörleri, açık kaynaklı ekosistemlerin arama motorlarındaki iyi itibarından yararlanarak kötü amaçlı web siteleri oluşturuyor ve bu kötü amaçlı web sitelerine bağlantılar içeren boş paketler yayınlıyor.” söz konusu geçen hafta yayınlanan bir raporda.
“Saldırılar, ara sıra ‘Hizmet Kullanılamıyor’ hatalarıyla NPM’yi kararsız hale getiren bir hizmet reddine (DoS) neden oldu.”
Son zamanlarda kimlik avı bağlantılarını yayan benzer kampanyalar gözlemlenirken, en son dalga, paket sürümlerinin sayısını 1,42 milyona çıkardı; bu, npm’de yayınlanan yaklaşık 800.000 paketten çarpıcı bir artış.
Saldırı tekniği, hileli web siteleri oluşturmak ve README.md dosyalarındaki bu sitelere bağlantılar içeren boş npm modülleri yüklemek için açık kaynak havuzlarının arama motoru sonuçlarında daha üst sıralarda yer aldığı gerçeğinden yararlanır.
Harush Kadouri, “Açık kaynak ekosistemleri arama motorlarında yüksek itibara sahip olduğundan, herhangi bir yeni açık kaynak paketi ve açıklamaları bu iyi itibarı devralır ve arama motorlarında iyi dizine eklenir, bu da onları şüphelenmeyen kullanıcılar için daha görünür hale getirir,” diye açıkladı Harush Kadouri.
Tüm sürecin otomatik olduğu göz önüne alındığında, çok sayıda paket yayınlamanın yarattığı yük, NPM’nin Mart 2023’ün sonlarına doğru aralıklı olarak kararlılık sorunları yaşamasına neden oldu.
Checkmarx, etkinliğin arkasında birden çok aktör olabileceği durumlarda, nihai hedefin kurbanın sistemine RedLine Stealer, Glupteba, SmokeLoader ve kripto para madencileri gibi kötü amaçlı yazılım bulaştırmak olduğuna işaret ediyor.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Diğer bağlantılar, kullanıcıları nihai olarak meşru e-ticaret sitelerine götüren bir dizi ara sayfaya götürür. Yönlendirme kimlikleriyle AliExpress, kurban platformda bir satın alma işlemi gerçekleştirdiğinde onlara kar sağlıyor. Üçüncü bir kategori, Rus kullanıcıları kripto para biriminde uzmanlaşmış bir Telegram kanalına katılmaya davet etmeyi gerektirir.
Harush Kadouri, “Yazılım tedarik zinciri ekosistemimizi zehirleyen tehdit aktörlerine karşı mücadele zorlu olmaya devam ediyor, çünkü saldırganlar sürekli olarak yeni ve beklenmedik tekniklere uyum sağlıyor ve sektörü şaşırtıyor” dedi.
Bu tür otomatikleştirilmiş kampanyaları önlemek için Checmarx, npm’nin kullanıcı hesabı oluşturma sırasında anti-bot tekniklerini dahil etmesini önerdi.