Check Point’ten siber güvenlik araştırmacıları, NPM deposunda kripto para birimi madencileri kuran 16 hatalı paket keşfetti.
NPM, geliştiricilerin yazılım geliştirmeyi hızlandırmak için kullanabileceği iki milyondan fazla açık kaynak paketi barındıran, en popüler JavaScript havuzlarından biridir.
Bu nedenle, tedarik zinciri saldırılarına katılan siber suçlular için çekici bir hedeftir. Kötü amaçlı paketleri indiren geliştiriciler, yalnızca uç noktalarını değil, aynı zamanda ürünlerini kullananları da riske atar.
Bir hız testi paketini taklit etme
Bu olayda, “trendava” takma adını kullanan bilinmeyen bir tehdit aktörü, 17 Ocak’ta tümü internet hız test cihazı gibi görünen 16 kötü amaçlı paket yükledi. Hepsinin gerçek bir hız test cihazına benzer adları vardır, ancak hedef cihaza bir kripto para madencisi kurmak için tasarlanmıştır. İsimlerden bazıları speedtestbom, speedtestfast, speedtestgo ve speedtestgod’dur.
Bir kripto para madencisi, daha sonra itibari para birimleri (ABD doları, euro vb.) karşılığında satılabilecek olan jetonlar oluşturmak için bilgisayarın işlem gücünü, elektriğini ve interneti kullanır. Aktif olduğunda, madenci, cihazın bilgi işlem gücünün neredeyse tamamını alır ve onu başka herhangi bir şey için işe yaramaz hale getirir. Madenciler, XMRig’i sunuculara ve diğer güçlü cihazlara yüklemek isteyen tehdit aktörleri ile bugünlerde oldukça popüler kötü amaçlı yazılımlardır. XMRig, izini sürmenin neredeyse imkansız olduğu bir gizlilik madeni parası olan Monero’yu (XMR) çıkarıyor.
NPM, 18 Ocak’ta yüklendikten bir gün sonra tüm kötü amaçlı paketleri kaldırdı.
Buna benzer 16 paket olduğu yorumunu yapan araştırmacılar, saldırganların deneme yanılma yapmış olma ihtimalinin yüksek olduğunu söyledi:
CheckPoint, “Bu farklılıkların, kötü amaçlı paketlerin avcı araçları tarafından hangi sürümün tespit edileceğini önceden bilmeden ve bu nedenle kötü niyetli niyetlerini gizlemek için farklı yollar deneyen saldırganın yaptığı bir deneme olduğunu varsaymak adil olur.” “Bu çabanın bir parçası olarak, saldırganın kötü amaçlı dosyaları GitLab’da barındırdığını gördük. Bazı durumlarda, kötü amaçlı paketler doğrudan kripto havuzlarıyla etkileşime giriyor ve bazı durumlarda, bu ihtiyaç için yürütülebilir dosyalardan yararlanıyor gibi görünüyor.”
Yazım hatalarına karşı korunmanın en iyi yolu, açık kaynak kodu dağıtırken dikkatli olmak ve yalnızca saygın kaynaklardan gelen paketleri kullanmaktır.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
