Yeni NPM Paketlerinde Tespit Edilen Zararlı Yazılımlar
Ciber saldırı araştırmacıları, bilgi çalmak amacıyla tasarlanmış dört yeni npm paketinin varlığını ortaya çıkardı. Bu paketlerden biri, TeamPCP tarafından açık kaynak olarak yayınlanan Shai-Hulud solucanının klonlarından biridir ve bu durum siber güvenlik açısından ciddi bir tehdit oluşturmaktadır.
Etkilenen Paketler
Tespit edilen npm paketlerinin listesi aşağıdadır:
- chalk-tempalte (825 İndirme)
- @deadcode09284814/axios-util (284 İndirme)
- axois-utils (963 İndirme)
- color-style-utils (934 İndirme)
OX Security’den Moshe Siman Tov Bustan, “Bu paketlerden biri (chalk-tempalte), TeamPCP tarafından geçen hafta sızdırılan Shai-Hulud kaynak kodunun doğrudan bir klonunu içeriyor ve bu durum, kısa süre önce BreachForums’da yayınlanan tedarik zinciri saldırısı rekabetinin bir parçası olarak tasarlanmış olabilir” dedi.
Saldırı Nasıl Çalışıyor?
Paketlerin analizi sonucunda, axois-utils paketinin, HTTP, TCP ve UDP protokolleri kullanarak bir hedef web sitesini alt üst edebilecek Fantom Bot adı verilen bir Golang tabanlı dağıtılmış hizmet engelleme (DDoS) bot ağı taşımak üzere tasarlandığı belirlendi. Ayrıca, bu paket hem Windows hem de Linux makinelerine yüklenmeyi sağlayarak Windows Başlangıç klasörüne yükleme yapıyor ve bir zamanlanmış görev oluşturuyor.
Diğer üç paket ise ele geçirilmiş sistemlerde bir bilgi çalan yük bırakıyor. Bu üç paket arasında chalk-tempalte, TeamPCP tarafından yayımlanan Shai-Hulud solucanının bir klonunu içeriyor. OX Security, “Aktör kodu neredeyse hiç değişiklik yapmadan aldı ve kendi C2 sunucusu ve özel anahtar ile çalışan bir versiyonunu npm’ye yükledi,” şeklinde açıklıyor.
Zararlı Yazılımın İşlevleri
Çalınan kimlik bilgileri, uzaktan bir C2 sunucusuna gönderiliyor: 87e0bbc636999b.lhr[.]life. Ek olarak, çalıntı veriler, bir GitHub kamu deposuna yeni bir GitHub token’ı kullanılarak gönderiliyor ve bu depo “A Mini Sha1-Hulud has Appeared” olarak adlandırılıyor.
Diğer iki npm paketi, @deadcode09284814/axios-util ve color-style-utils, SSH anahtarları, çevresel değişkenler, bulut kimlik bilgileri, sistem bilgileri, IP adresleri ve kripto para cüzdanı verilerini sırasıyla 80.200.28[.]28:2222 ve edcf8b03c84634.lhr[.]life adreslerine aktarıyor.
Çözüm ve Korunma
OX Security, “Tehdit aktörleri, açık kaynak olan Shai-Hulud koduyla birlikte tedarik zinciri ve yazım hatası yapma saldırılarını gerçekleştirmek için daha fazla motive oluyor,” dedi. Kullanıcıların, bu paketleri indirmiş olmaları durumunda derhal kaldırmaları, IDE ve kodlama ajanlarından zararlı yapılandırmaları bulup silmeleri, gizli anahtarları döndürmeleri ve “A Mini Sha1-Hulud has Appeared” ifadesini içeren GitHub depolarını kontrol etmeleri önerilmektedir. Ayrıca, şüpheli alan adlarına ağ erişimini engellemeleri de önemlidir.
Aksiyon Adımları
- Paketleri hemen kaldırın.
- Zararlı yapılandırmaları IDE’lerden ve kodlama araçlarından silin.
- Gizli anahtarlarınızı (secrets) döndürün.
- “A Mini Sha1-Hulud has Appeared” ifadesini içeren GitHub depolarını kontrol edin.
- Şüpheli alan adlarına ağ erişimini engelleyin.
