Siber güvenlik araştırmacıları, Ethereum özel anahtarlarını toplamak ve güvenli kabuk (SSH) protokolü aracılığıyla makineye uzaktan erişim sağlamak için tasarlanmış, npm kayıt defterinde yayınlanan bir dizi şüpheli paket keşfetti.
Yazılım tedarik zinciri güvenlik şirketi Phylum, paketlerin “saldırganın SSH ortak anahtarını kök kullanıcının yetkili anahtarlar dosyasına yazarak kurbanın makinesine SSH erişimi sağlamaya” çalıştığını söylüyor. söz konusu Geçen hafta yayınlanan bir analizde.
Kampanya kapsamında belirlenen ve meşru kimliği taklit etmeyi amaçlayan paketlerin listesi eter paketiaşağıdaki gibidir –
Çoğu “crstianokavic” ve “timyorks” adlı hesaplar tarafından yayınlanan bu paketlerden bazılarının, çoğu minimal düzeyde değişiklik taşıdığından test amaçlı yayınlandığı düşünülüyor. Listedeki en yeni ve en eksiksiz paket ethers-mew’dir.
Bu, npm kayıt defterinde benzer işlevlere sahip sahte paketlerin keşfedildiği ilk sefer değil. Ağustos 2023’te Filum ayrıntılı ethereum-cryptographyy adlı bir paket, kötü niyetli bir bağımlılık oluşturarak kullanıcıların özel anahtarlarını Çin’deki bir sunucuya sızdıran popüler bir kripto para birimi kitaplığının yazım hatası.
En son saldırı kampanyası, kötü amaçlı kodun doğrudan paketlerin içine yerleştirildiği ve tehdit aktörlerinin Ethereum özel anahtarlarını “ether-sign” alanına aktarmasına olanak tanıyan biraz farklı bir yaklaşımı benimsiyor.[.]com” onların kontrolü altındadır.
Bu saldırıyı çok daha sinsi yapan şey, paketi yüklemenin tetiklemeyi tetiklemek için yeterli olduğu tipik durumların aksine, geliştiricinin, içe aktarılan paketi kullanarak yeni bir Cüzdan örneği oluşturmak gibi, kodundaki paketi gerçekten kullanmasını gerektirmesidir. kötü amaçlı yazılımın yürütülmesi.
Buna ek olarak, ethers-mew paketi, saldırganın sahip olduğu bir SSH anahtarını eklemek ve saldırganın güvenliği ihlal edilmiş ana bilgisayara kalıcı uzaktan erişim sağlamak için “/root/.ssh/authorized_keys” dosyasını değiştirme yetenekleriyle birlikte gelir.
Phylum, “Yazarların hesaplarıyla birlikte tüm bu paketler yalnızca çok kısa bir süre için kullanıma sunuldu ve görünüşe göre yazarların kendileri tarafından kaldırılıp silindi” dedi.
