npm paket deposunda bulunan iki kötü amaçlı paketin, adı verilen açık kaynaklı bir bilgi hırsızı kötü amaçlı yazılımını gizlediği bulundu. TurkoRat.
Nodejs-encrypt-agent ve nodejs-cookie-proxy-agent adlı paketler, toplu olarak yaklaşık 1.200 kez indirildi ve belirlenip kaldırılmadan önce iki aydan uzun süre kullanılabilir durumdaydı.
Kampanyanın ayrıntılarını açıklayan ReversingLabs, TurkoRat’ı oturum açma kimlik bilgileri, web sitesi çerezleri ve kripto para cüzdanlarından veriler gibi hassas bilgileri toplayabilen bir bilgi hırsızı olarak tanımladı.
nodejs-encrypt-agent içindeki kötü amaçlı yazılımla donatılmış olarak gelirken, nodejs-cookie-proxy-agent’ın trojan’ı axios-proxy adı altında bir bağımlılık olarak gizlediği bulundu.
nodejs-encrypt-agent ayrıca şu şekilde bilinen başka bir meşru npm modülü gibi görünmek üzere tasarlanmıştır: ajan tabanıbugüne kadar 25 milyondan fazla indirildi.
Hileli paketlerin listesi ve ilişkili sürümleri aşağıda listelenmiştir –
- nodejs-encrypt-agent (sürüm 6.0.2, 6.0.3, 6.0.4 ve 6.0.5)
- nodejs-cookie-proxy-agent (sürüm 1.1.0, 1.2.0, 1.2.1, 1.2.2, 1.2.3 ve 1.2.4) ve
- axios-proxy (1.7.3, 1.7.4, 1.7.7, 1.7.9, 1.8.9 ve 1.9.9 sürümleri)
ReversingLabs tehdit araştırmacısı Lucija Valentić, “TurkoRat, ‘test’ amacıyla sunulan birçok açık kaynaklı kötü amaçlı yazılım ailesinden yalnızca biridir, ancak kötü amaçlı kullanım için kolayca indirilebilir ve değiştirilebilir.” söz konusu.
Bulgular bir kez daha altını çiziyor devam eden risk Tedarik zinciri saldırılarını açık kaynak paketleri aracılığıyla yöneten ve geliştiricileri potansiyel olarak güvenilmeyen kodları indirmeleri için kandıran tehdit aktörleri.
Valentić, “Geliştirme kuruluşlarının, bağımlılıkları izlemek ve bunlardaki potansiyel kötü niyetli yükleri tespit etmek için güvendikleri açık kaynak, üçüncü taraf ve ticari kodun özelliklerini ve davranışlarını incelemeleri gerekiyor.”
Kötü amaçlı npm paketlerinin artan kullanımı, saldırganların açık kaynak yazılım tedarik zincirlerine yönelik daha geniş bir artan ilgi modeline uyuyor ve tehdit aktörlerinin artan karmaşıklığının altını çiziyor.
Daha da endişe verici bir şekilde, Checkmarx araştırmacıları bu ay, tehdit aktörlerinin “orijinal paket adlarındaki büyük harfleri taklit etmek için küçük harfler kullanarak” (örneğin, memoryStorageDriver’a karşı memorystoragedriver) otantik npm paketlerini nasıl taklit edebildiğini gösteren yeni bir araştırma yayınladı.
Araştırmacılar Teach Zornstein ve Yehuda Gelb, “Bu kötü niyetli paket kimliğine bürünme, geleneksel ‘Typosquatting’ saldırı yöntemini yeni bir düzeye taşıyor; saldırganlar, meşru harflerle tamamen aynı harflerden oluşan paket adlarını kaydettiriyor, tek fark büyük harf kullanımı.” söz konusu.
“Bu, büyük harf kullanımındaki ince farkları gözden kaçırmak kolay olabileceğinden, kullanıcıların aldatmacayı tespit etmesini daha da zorlaştırıyor.”
Tedarik zinciri güvenlik şirketi, Checkmarx’ın söylediğine göre sorunu çözmek için npm koruyucuları tarafından zorlanan bir düzeltme olmasaydı, başlıklarında büyük harfler bulunan 3.815 paketten 1.900’ünün taklit saldırıları riski altında olabileceğini tespit etti. vardı Aralık 2017’den beri.
Açıklama, Check Point’ten gelen başka bir tavsiyeyi de takip ediyor. tanımlanmış VS Code uzantıları pazarında barındırılan üç kötü amaçlı uzantı. 14 Mayıs 2023 tarihi itibariyle tasfiye edildiler.
En güzel java, Darcula Dark ve python-vscode adlı eklentiler toplamda 46.000’den fazla kez indirildi ve tehdit aktörlerinin kimlik bilgilerini, sistem bilgilerini çalmasına ve kurbanın makinesinde uzak bir kabuk oluşturmasına olanak tanıyan özellikler içeriyordu.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Bu sadece npm ve VS Code pazarı değil, Python Paket Dizini (PyPI) yazılım deposundan da benzer bir dizi hileli kitaplık ortaya çıkarıldı.
Bu paketlerden bazıları, bir kripto para birimi kesme kötü amaçlı yazılımını dağıtmak için tasarlandı. KEKWpopüler şişe çerçevesinin diğer yazım yanlışı yapılmış sürümleri dahilken arka kapı işlevleri uzak bir sunucudan komut almak için.
Başka bir Python paketi açıkta İsrailli şirket Phylum tarafından bu hafta Discord tokenlerini kapmak ve kripto para birimi işlemlerini kaçırmak için pano içeriğini çalmak için şifrelenmiş bir yük barındıran kötü niyetli bir bağımlılık içerdiği bulundu.
Geliştiricisi Patrick Pogoda tarafından chatgpt-api olarak adlandırılan ve GitHub aracılığıyla erişilebilen paket, hileyi tamamlamak amacıyla reklamını yaptığı işlevselliği (yani OpenAI’nin ChatGPT aracıyla etkileşim kurma) sağladı. Depo, yazı yazarken hala kullanılabilir.
“Şimdilik bu aktör, popülaritesindeki son patlayıcı artışı besliyor gibi görünüyor. [Large Language Models] Bu chatgpt-api paketi ile,” diyen Phylum, tehdit aktörünün, her kapatıldığında kötü amaçlı bağımlılığın yeni yinelemelerini yüklemek ve “kalıcı bir bulaşmayı sürdürmek” için muhtemelen otomatik bir mekanizmaya sahip olduğunu da sözlerine ekledi.