Yeni tanımlanan Kuzey Koreli bir tehdit aktörü, kötü amaçlı düğüm paketi yöneticisi (npm) kodunun dağıtımını kamu kayıtlarına genişletti. Açık kaynak kod depolarını zehirleyerek yazılım tedarik zincirini tehdit etme faaliyetlerini hızlandırması nedeniyle kendisini diğer devlet destekli gruplardan farklılaştırıyor.

Aytaşı Karla karışık yağmuru ilk kez sahneye çıktı Geçen ayın sonlarında Microsoft, tehdit grubunun havacılık, eğitim, yazılım kuruluşları ve geliştiricilere karşı bir paket saldırı tekniği kullanarak eş zamanlı olarak casusluk ve finansal siber saldırılara giriştiğini ortaya çıkardı.

Bu teknikler arasında şunlar vardı: uzaktan teknoloji işleri için işe alınmaya çalışın gerçek şirketlerle bağlantı kuruyor ve bu süreçte kötü niyetli npm paketlerini LinkedIn ve serbest çalışan web sitelerine yayıyor. Artık CheckMarx’tan araştırmacılar, Moonstone Sleet’in kötü amaçlı npm paket faaliyetinin kapsamının ilk bildirilenden daha geniş olduğunu keşfettiler. bir blog yazısı 13 Haziran’da yayınlandı.

Checkmarx’ın yazılım tedarik zinciri başkanı Tzachi Zornstein, Dark Reading’e, aktörün “bu kötü amaçlı paketleri geliştiricilerin erişebileceği halka açık açık kaynak paket depolarına yerleştirdiğini”, bu da aktörün saldırı yüzeyini genişletmesine olanak tanıyan bir etkinlik olduğunu söylüyor.

Zornstein ve arkadaşları, “Bu yeni Kuzey Koreli grubun ortaya çıkması ve buna Rus ve Kuzey Koreli tehdit aktörlerinin son saldırıları eklenince, açık kaynak ekosisteminin güçlü ve sofistike düşmanlar için birincil hedef haline geldiği giderek daha belirgin hale geldi.” CheckMarx araştırmacısı Yehuda Gelb gönderide şunları yazdı.

Araştırmacılar alıntı yapıyor çok yıllı tedarik zinciri saldırısı Kötü amaçlı açık kaynak kodunun nasıl yayıldığını göstermek için XZ Utils veri sıkıştırma yardımcı programına bir arka kapı yerleştirilmesiyle başlayan bu olay, büyük bir dalgalanma etkisi kurumsal yazılımın güvenliği genelinde.

Lazarus Aktivitesinden Farklılaşma

CheckMarx ayrıca Moonstone Sleet’in, kötü amaçlı kod paketlerinin yapısı ve stili açısından kendisini başka bir tanınmış ve üretken Kuzey Koreli aktörden nasıl ayırdığını da keşfetti. Jade Sleet, daha çok Lazarus olarak bilinir – benzer faaliyetlerde bulunan.

Araştırmacılar, geçen yılın sonlarında ve 2024’ün ilk çeyreğinde yayınlanan en yeni paketlerin, Moonstone Sleet’in yükünü kurulumdan hemen sonra yürüten “tek paket yaklaşımı” kullandığını gösteriyor.

Ayrıca, daha önceki kötü amaçlı yükler “işletim sistemine özel kod içeriyordu ve yalnızca bir Windows makinesinde çalıştığını tespit ederse çalıştırılıyordu”, ancak bu yılın başlarında yayınlanan paketler, aktörün, işletim sistemi tespit edilirse Linux sistemlerini hedef almak için şaşırtmaca eklediğini ve kod oluşturduğunu gösteriyor. Araştırmacılar pakete göre ortaya çıktı.

Tersine, Lazarus paketlerini tasarladı2023 yazında çiftler halinde çalıştığı ve her bir çiftin kötü amaçlı işlevlerini dağıtmak için ayrı bir npm kullanıcı hesabı tarafından yayınlandığı keşfedildi. Zornstein ve Gelb, “Bu yaklaşım, kötü niyetli etkinliği tespit etmeyi ve tek bir kaynağa kadar takip etmeyi daha zorlu hale getirmek amacıyla kullanıldı.” diye yazdı.

Lazarus’un ilk paketi kurbanın makinesinde bir dizin oluşturacak, uzaktaki bir sunucudan güncellemeleri alacak ve bunları yeni oluşturulan dizindeki bir dosyaya kaydedecek, ikinci paket ise kötü amaçlı yükü çalıştıracaktı.

Açık Kaynak Ekosistemine Yönelik Gelişen Tehdit

Kuzey Koreli tehdit aktörlerinin kötü niyetli npm paketlerini yayınlama taktiği genel olarak “kampanyalarının ısrarcı doğasının altını çiziyor” ve büyüyen bir risk oluşturuyor yazılım geliştirme için kamu kayıtlarına bağlı olan açık kaynak topluluğu için.

Zornstein, “Saldırganlar, bu kötü amaçlı paketleri genel kayıt defterine yükleyerek geliştiricilerin açık kaynak kayıt defterlerine olan güvenini kötüye kullanıyor” diyor.

Ancak açık kaynak topluluğu, ekosistemin güvenliği ve bütünlüğünün korunmasında kilit bir rol oynarken, yazılım tedarik zincirinin güvenliğinin sağlanmasında birincil sorumluluk, bu paketleri tüketen kuruluşlara aittir. Bu nedenle kuruluşların “kodu geliştiricilerin kullanımına sunmadan önce paketlerdeki kodu kötü niyetli davranışlara karşı taramasının” zorunlu olduğunu söylüyor.

Geliştiriciler ve kuruluşlar da bunu yapmaya devam etmelidir. işbirliği yapın ve bilgi paylaşın Araştırmacılar, bu saldırıları belirlemek ve engellemek için kendi aralarında ve güvenlik topluluğuyla birlikte hareket ettiklerini söyledi. “Kolektif çaba ve proaktif önlemler yoluyla” diye yazdılar, “herkes için daha güvenli ve daha emniyetli bir açık kaynak ekosistemi için çalışabiliriz.”



siber-1