Siber güvenlik araştırmacıları, hedeflenen sistemlere bilinmeyen bir yük sağlamak için benzersiz bir yürütme zincirinden yararlanan npm ekosistemini hedefleyen, devam eden yeni bir kampanya keşfetti.
Yazılım tedarik zinciri güvenlik şirketi Phylum, “Söz konusu paketler, çiftler halinde yayınlanıyor gibi görünüyor; her bir çift, daha sonra kodu çözülen ve/veya yürütülen ek kaynakları getirmek için uyum içinde çalışıyor.” söz konusu geçen hafta yayınlanan bir raporda.
Bu amaçla, iki modülün ilki uzak bir sunucudan alınan bir belirteci yerel olarak depolamak üzere tasarlandığından, paket çiftlerinin yüklenme sırası başarılı bir saldırıyı gerçekleştirmek için çok önemlidir. Kampanya ilk olarak 11 Haziran 2023’te keşfedildi.
İkinci paket daha sonra bu belirteci işletim sistemi türünün yanında bir parametre olarak bir HTTP GET isteği uzak sunucudan ikinci bir komut dosyası almak için. Başarılı bir yürütme, Base64 kodlu bir dize döndürür ve bu dize, yalnızca bu dize 100 karakterden uzunsa hemen yürütülür.
Phylum, uç noktanın şu ana kadar “bm8gaGlzdG9yeSBhdmFpbGFibGU=” dizesini döndürdüğünü ve bunun kodunu “geçmiş yok” olarak çözdüğünü, bu da ya saldırının hala devam eden bir çalışma olduğunu ya da yalnızca belirli zamanlarda bir yük döndürmek üzere tasarlandığını ima ediyor.
Bu davranış için başka bir hipotez, belirteç oluşturulurken ilk paketten kaynaklanan isteğin gönderildiği IP adresine (ve uzantı olarak konuma) bağlı olması olabilir.
Operasyonun arkasındaki tehdit aktörünün kimliği şu anda bilinmiyor, ancak düşmanın saldırıyı gerçekleştirmek için kat ettiği mesafe göz önüne alındığında “makul” gelişmiş bir tedarik zinciri tehdidinin tüm özelliklerine sahipken, aynı zamanda bir sonraki saldırıyı dinamik olarak gerçekleştirmek için adımlar atıyor. algılamadan kaçınmak için aşamalı yük.
Phylum, “Bir çiftteki her paketin sırayla, doğru sırada ve aynı makinede başarılı bir şekilde çalışmasını sağlamak için yürütülmesi çok önemlidir” dedi. “Dikkatlice düzenlenmiş bu saldırı, açık kaynak ekosistemindeki modern tehdit aktörlerinin sürekli gelişen karmaşıklığının kesin bir hatırlatıcısı olarak hizmet ediyor.”
Açıklama, Sonatype’ın Python Paket Dizini (PyPI) deposunda, break adlı tek bir hesap tarafından yüklenen altı kötü amaçlı paketi (break-rcl, broscolors, broscolors2, broscolors3, brosrcl ve trexcolors) ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı ve gazeteci Axe Sharma, “Bu paketler Windows işletim sistemini hedefliyor ve sürümleri açısından aynı.” söz konusu. “Kurulumdan sonra, bu paketler basitçe indirilir ve trojan çalıştırmak Discord’un sunucularında barındırılıyor.”
Ayrıca Sonatype tarafından keşfedilen libiobe olarak adlandırılan ve hem Windows hem de Linux işletim sistemlerini hedef alabilen bir pakettir. Paket, Windows çalıştıran makinelerde bir bilgi hırsızıoysa Linux’ta sistemin profilini çıkaracak ve bu bilgileri bir Telegram uç noktasına geri sızdıracak şekilde yapılandırılmıştır.
Sharma, “Sonuçta bu tür adlara sahip paketleri kimin çalıştıracağını veya özellikle kimi hedeflediklerini belirlemek zor,” dedi. “Bu paketler herhangi bir yeni yük veya taktik kullanmıyor veya bariz hedeflere sahip olmasa da, PyPI ve npm gibi açık kaynaklı yazılım kayıt defterlerini hedef alan devam eden kötü niyetli saldırıların bir kanıtı.”
