Bilinmeyen tehdit aktörlerinin, Truva atı haline getirilmiş sürümleri yaydığı tespit edildi jQuery npm, GitHub ve jsDelivr’de “karmaşık ve kalıcı” bir tedarik zinciri saldırısının örneği gibi görünüyor.
“Bu saldırı, paketler arasındaki yüksek değişkenlik nedeniyle öne çıkıyor,” diyor Phylum söz konusu Geçtiğimiz hafta yayınlanan bir analizde.
“Saldırgan, kötü amaçlı yazılımı nadiren kullanılan ‘son‘ jQuery’nin daha popüler olan dahili olarak çağırdığı fonksiyonsolmak‘ işlevini animasyon yardımcı programlarından kullanın.”
Kampanyaya 68’e kadar paket bağlandı. Bunlar 26 Mayıs’tan 23 Haziran 2024’e kadar npm kayıt defterine cdnjquery, footersicons, jquertyi, jqueryxxx, logoo ve sytlesheets gibi isimler kullanılarak yayımlandı.
Çeşitli hesaplardan yayınlanan paketlerin çokluğu, adlandırma kurallarındaki farklılıklar, kişisel dosyaların eklenmesi ve yüklendikleri uzun zaman dilimi nedeniyle, sahte paketlerin her birinin elle derlenip yayınlandığı yönünde kanıtlar bulunmaktadır.
Bu, saldırganların paketlerin oluşturulması ve yayınlanmasında otomasyon unsurunu vurgulayan önceden tanımlanmış bir modeli izleme eğiliminde olduğu diğer yaygın olarak gözlemlenen yöntemlerden farklıdır.
Phylum’a göre kötü amaçlı değişiklikler, tehdit aktörünün web sitesi form verilerini uzak bir URL’ye sızdırmasına olanak tanıyan “end” adlı bir işlevde tanıtıldı.
Daha detaylı incelemeler sonucunda, trojanlanmış jQuery dosyasının ” adlı bir hesapla ilişkili bir GitHub deposunda barındırıldığı bulundu.dizinlerAynı depoda, kütüphanenin değiştirilmiş sürümüne işaret eden bir betik içeren JavaScript dosyaları da mevcuttur.
Phylum, “jsDelivr’in, CDN’ye açıkça herhangi bir şey yüklemeye gerek kalmadan, bu GitHub URL’lerini otomatik olarak oluşturduğunu belirtmekte fayda var” dedi.
“Bu muhtemelen saldırganın kaynağı daha meşru gösterme veya kodu doğrudan GitHub’dan yüklemek yerine jsDelivr’i kullanarak güvenlik duvarlarını aşma girişimidir.”
Gelişme Datadog’dan geliyor tanımlanmış CPU mimarisine bağlı olarak saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama ikili dosyasını indirme yeteneğine sahip Python Paket Endeksi (PyPI) deposundaki bir dizi paket.
