Phylum show’un yeni bulgularına göre Node.js deposunda keşfedilen bir dizi sahte npm paketinin Kuzey Kore devleti destekli aktörlerle bağlarını paylaştığı ortaya çıktı.
Paketler, yürütme-zaman-async, veri-zaman-utils, oturum açma-zaman-utils, mongodb-bağlantı-utils ve mongodb-yürütme-utils olarak adlandırılır.
Söz konusu paketlerden biri, yürütme zamanı eşzamansızmeşru muadili gibi görünüyor uygulama vakti, haftalık 27.000’den fazla indirmeye sahip bir kütüphane. Yürütme zamanı, koddaki yürütme süresini ölçmek için kullanılan bir Node.js yardımcı programıdır.
Phylum, “Aslında bir kripto para birimi ve kimlik bilgisi hırsızı da dahil olmak üzere birçok kötü amaçlı komut dosyası yüklüyor” dedi. söz konusuKampanyayı geliştiricileri hedef alan bir yazılım tedarik zinciri saldırısı olarak tanımlıyor. Paket şuydu: 302 kez indirildi 4 Şubat 2024’ten beri, kaldırılmadan önce.
İlginç bir şekilde, tehdit aktörleri, karartılmış kötü amaçlı kodu, uzak bir sunucudan sonraki aşamadaki yükleri almak, Brave, Google Chrome ve Opera gibi web tarayıcılarının kimlik bilgilerini çalmak ve kimlik bilgilerini çalmak için tasarlanmış bir test dosyasında gizlemeye çalıştı. bir Python betiği alır ve bu da diğer betikleri indirir –
- ~/.n2/pay, rastgele komutlar çalıştırabilir, ~/.n2/bow ve ~/.n2/adc’yi indirip başlatabilir, Brave ve Google Chrome’u sonlandırabilir ve hatta kendisini silebilir
- ~/.n2/bow, Python tabanlı bir tarayıcı şifresi çalıcıdır
- ~/.n2/adc, AnyDesk’i Windows’a yükler
Phylum, kaynak kodunda (“/Users/ninoacuna/”), File-Uploader adlı bir depo içeren, aynı adı taşıyan (“Nino Acuna” veya ikiliExDev) artık silinmiş bir GitHub profilinin izini sürmeyi mümkün kılan yorumlar tanımladığını söyledi. .
Depoda aynı IP adreslerine (162.218.114) başvuran Python komut dosyaları mevcuttu.[.]83 – daha sonra 45.61.169 olarak değiştirildi[.]99) yukarıda belirtilen Python komut dosyalarını getirmek için kullanılır.
Aynı özelliklere sahip en az dört paket daha npm paket deposuna giderek toplam 325 indirme aldığından, saldırının devam eden bir çalışma olduğundan şüpheleniliyor.
Kuzey Koreli Aktörlerle Bağlantılar Ortaya Çıkıyor
BinaryExDev’in takip ettiği iki GitHub hesabını da analiz eden Phylum, mave-finance-org/auth-playground olarak bilinen ve diğer hesaplar tarafından en az bir düzine kez çatallanan başka bir havuzu ortaya çıkardı.
Bir depoyu çatallamak kendi başına sıra dışı bir durum olmasa da, bu çatallanmış depolardan bazılarının olağandışı bir yönü, bunların “auth-demo” veya “auth-challenge” olarak yeniden adlandırılmasıydı, bu da orijinal havuzun başka bir depoya ait olabileceği ihtimalini artırıyordu. Bir iş görüşmesi için yapılan kodlama testinin parçası olarak paylaşıldı.
Depo daha sonra banus-finance-org/auth-sandbox, Dexbanus-org/live-coding-sandbox ve mave-finance/next-assessment’e taşındı; bu da GitHub’un yayından kaldırma girişimlerini aktif olarak aşma girişimlerinin göstergesiydi. Bu hesapların tümü kaldırıldı.
Dahası, bir sonraki değerlendirme paketinin, npm kayıt defterinde listelenmeyen, bunun yerine doğrudan npm.mave etki alanından sunulan bir “json-mock-config-server” bağımlılığı içerdiği bulundu.[.]finans.
Banus’un bir olduğunu iddia ettiğini belirtmekte fayda var. merkezi olmayan sürekli spot değişimi Merkezi Hong Kong’da bulunan şirket, hatta bir ilan bile yayınladı. iş fırsatı 21 Şubat 2024’te kıdemli bir ön uç geliştirici için. Bunun gerçek bir iş ilanı mı yoksa ayrıntılı bir sosyal mühendislik planı mı olduğu şu anda belli değil.
Kuzey Koreli tehdit aktörleriyle olan bağlantılar, npm paketine yerleştirilmiş karartılmış JavaScript’in, benzer bir mekanizma yoluyla yayılan BeaverTail adlı başka bir JavaScript tabanlı kötü amaçlı yazılımla çakışmasından kaynaklanıyor. Kampanya, Kasım 2023’te Palo Alto Networks Birim 42 tarafından Bulaşıcı Röportaj olarak kodlandı.
Bulaşıcı Röportaj, Lazarus Grubuna bağlı olan Dream Job Operasyonu’ndan biraz farklıdır; çünkü esas olarak, serbest çalışan iş portallarındaki sahte kimlikler yoluyla geliştiricileri hileli npm paketleri yüklemeleri için kandırmaya odaklanır, Michael Sikorski, başkan yardımcısı ve CTO Palo Alto Networks Birim 42’den biri o sırada The Hacker News’e söylemişti.
Kampanyanın kurbanı olan geliştiricilerden biri, o zamandan beri Phylum’a, deponun canlı kodlama röportajı kisvesi altında paylaşıldığını doğruladı, ancak bunu sistemlerine hiçbir zaman yüklemediklerini söyledi.
Şirket, “Hem bireysel geliştiricilerin hem de yazılım geliştirme kuruluşlarının açık kaynak kodundaki bu saldırılara karşı tetikte olmaları her zamankinden daha önemli” dedi.