Giriş
Son zamanlarda Kuzey Koreli siber tehdit aktörleri, JavaScript ve Python geliştiricilerini hedef alan sahte işe alım kampanyalarına yenilikler ekledi. Bu tehdit, kötü amaçlı yazılımların bulaşmasına neden olabilen sahte iş fırsatlarıyla hızla yayılmaya devam ediyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, özellikle npm ve PyPi kayıtlarında yayınlanan paketlere dayanıyor. Kötü niyetli aktör, geliştiricilere kripto para ile ilgili projelerde yeteneklerini göstermeleri için görevler veriyor. Ancak asıl hedef, başvuranların belirtilen kodları çalıştırmasını sağlamak.
- Geliştiricilerin bir projeyi çalıştırıp hata ayıklaması bekleniyor.
- Bu süreçte, meşru bir kaynaktan gelen kötü amaçlı bağımlılıklar yükleniyor.
Etkilenen Sistemler
Researcherlar, bu kampanyada toplamda 192 kötü amaçlı paketi tespit etti ve bu paketlere ‘ Graphalgo ’ adını verdiler. Bir örnek olarak, ‘bigmathutils’ adlı bir paket 10.000 kez indirilmişken, 1.1.0 versiyonu ile kötü amaçlı yükler içermeye başladı. Bu versiyondan sonra saldırgan, paketi kaldırarak durumu gizlemeye çalıştı.
- Paketlerin isimlerinde genellikle “graph” veya “big” terimleri kullanılıyor.
- Bu bağımlılıklar, graphlib gibi popüler kütüphaneleri taklit ediyor.
Çözüm ve Korunma
Saldırganlar, Github Organizations kullanarak işbirliği yapılan temiz görünen hesaplar üzerinden kötü amaçlı kodları dolaylı yollarla entegre ediyorlar. Geliştiriciler, belirli projeleri çalıştırarak sistemlerini RAT (Remote Access Trojan) ile bulaştırıyorlar. Bu RAT, kurbanın bilgisayarında komutlar çalıştırarak dosyaları dışarı aktarma yeteneğine sahip.
- RAT, kurbanın çalıştırdığı süreçleri listeleyebilir.
- Komut ve kontrol sunucusundan (C2) talimat alarak rastgele komutlar çalıştırabilir.
- Kurbanın tarayıcısında MetaMask uzantısının kurulu olup olmadığını kontrol eder; bu, gelecekteki para hırsızlığı için bir gösterge sayılır.
Sonuç olarak, geliştiricilerin kötü amaçlı paketleri yüklemediğinden emin olmaları kritik öneme sahiptir. Geliştiriciler, kötü amaçlı paketleri yükledikleri takdirde tüm tokenlarını ve hesap şifrelerini değiştirmelidir. Ayrıca, işletim sistemlerini yeniden yüklemeleri şiddetle önerilir.
