Kötü niyetli bir NPM paketi, Material Tailwind için meşru yazılım kitaplığı gibi görünen ve bir kez daha tehdit aktörlerinin açık kaynaklı yazılım havuzlarında kötü niyetli kod dağıtma girişimlerini gösteren bulundu.
Malzeme Tailwind bir CSS tabanlı çerçeve sahipleri tarafından “Tailwind CSS ve Materyal Tasarımı için kullanımı kolay bileşen kitaplığı” olarak tanıtılmıştır.
ReversingLabs güvenlik araştırmacısı Karlo Zanki, “Kötü niyetli Material Tailwind npm paketi, yararlı bir geliştirme aracı olarak görünse de otomatik bir yükleme sonrası komut dosyasına sahiptir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Bu komut dosyası, PowerShell komut dosyalarını çalıştırabilen bir Windows yürütülebilir dosyasını içeren parola korumalı bir ZIP arşiv dosyasını indirmek için tasarlanmıştır.
adlı haydut paketi malzeme-kuyruk rüzgarlarıbugüne kadar 320 kez indirildi ve tümü 15 Eylül 2022’de veya sonrasında gerçekleşti.
Giderek yaygınlaşan bir taktikte, tehdit aktörü, orijinal paketin sağladığı işlevselliği taklit etmeye büyük özen gösterirken, kötü niyetli özellikleri tanıtmak için bir yükleme sonrası komut dosyasını gizlice kullanır.
Bu, muhtemelen yükü bir tanılama yardımcı programı olarak devretmek amacıyla “DiagnosticsHub.exe” adı verilen bir Windows ikili dosyasını gömen uzak bir sunucudan alınan bir ZIP dosyası biçimini alır.
2. aşama indirme kodu |
Yürütülebilir dosya içinde paketlenmiş, komuta ve kontrol, iletişim, süreç manipülasyonu ve zamanlanmış bir görev aracılığıyla kalıcılık oluşturmadan sorumlu Powershell kod parçacıklarıdır.
Typosquatted Material Tailwind modülü, son yıllarda npm, PyPI ve RubyGems gibi açık kaynaklı yazılım havuzlarını hedef alan uzun bir saldırı listesinin en sonuncusudur.
Saldırı aynı zamanda yazılım tedarik zincirini bir saldırı yüzeyi olarak vurgulamaya da hizmet ediyor ve saldırganların tek seferde birden fazla platform ve kurumsal ortam arasında hasara yol açabilecek kötü niyetli kodlar dağıtarak sahip olabileceği basamaklı etki nedeniyle önemi arttı.
Tedarik zinciri tehditleri ayrıca ABD hükümetini, federal kurumları “yalnızca güvenli yazılım geliştirme standartlarıyla uyumlu yazılımları kullanmaya” ve “tüm üçüncü taraf yazılımlar için kendi kendini onaylamaya” yönlendiren bir not yayınlamaya sevk etti.
Beyaz Saray, “Yazılım bütünlüğünü sağlamak, Federal sistemleri tehditlerden ve güvenlik açıklarından korumak ve siber saldırılardan kaynaklanan genel riski azaltmak için anahtardır” dedi. söz konusu geçen hafta.