Siber güvenlik araştırmacıları, npm paket kayıt defterinde, Ethereum akıllı sözleşmelerindeki güvenlik açıklarını tespit etmek için bir kütüphane gibi görünen, ancak gerçekte geliştirici sistemlerine Quasar RAT adı verilen açık kaynaklı bir uzaktan erişim truva atı bırakan kötü amaçlı bir paket keşfetti.
Adı oldukça karışık olan paket ethereumvulncontracthandler“solidit-dev-416” adlı bir kullanıcı tarafından 18 Aralık 2024’te npm’de yayınlandı. Yazım tarihi itibariyle indirilmeye devam etmektedir. Olmuştur 66 kez indirildi bugüne kadar.
Soket güvenlik araştırmacısı Kirill Boychenko, “Kurulumun ardından uzak bir sunucudan kötü amaçlı bir komut dosyası alıyor ve RAT’ı Windows sistemlerine dağıtmak için bunu sessizce yürütüyor.” söz konusu Geçen ay yayınlanan bir analizde.
ethereumvulncontracthandler’a gömülü kötü amaçlı kod, analiz ve tespit çabalarına direnmek için Base64 ve XOR kodlaması gibi tekniklerin yanı sıra küçültme tekniklerinden yararlanılarak birden fazla gizleme katmanıyla gizlenir.
Kötü amaçlı yazılım aynı zamanda uzak bir sunucudan ikinci aşama bir veri alıp çalıştırarak yükleyici görevi görmeden önce korumalı alan ortamlarında çalışmayı önlemek için kontroller de gerçekleştirir (“jujuju”[.]lat”). Betik, Quasar RAT’ın yürütülmesini başlatmak için PowerShell komutlarını çalıştıracak şekilde tasarlanmıştır.
Uzaktan erişim truva atı, Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağlar ve bir komut ve kontrol (C2) sunucusuyla (“captchacdn) bağlantı kurar[.]com:7000”) bilgi toplamasına ve sızdırmasına olanak tanıyan daha fazla talimat almak için.
Quasar RAT, ilk olarak kamuya açıklandı Temmuz 2014’te GitHub’da bulunan bu dosya, yıllar boyunca çeşitli tehdit aktörleri tarafından hem siber suç hem de siber casusluk kampanyaları için kullanıldı.
Boychenko, “Tehdit aktörü aynı zamanda bu C2 sunucusunu, virüs bulaşmış makineleri kataloglamak ve bu saldırının bir botnet enfeksiyonunun parçası olması halinde güvenliği ihlal edilmiş birden fazla ana bilgisayarı aynı anda yönetmek için kullanıyor.” dedi.
“Bu aşamada, kurbanın makinesi tamamen tehlikeye girmiştir ve tehdit aktörü tarafından tam gözetim ve kontrol altındadır, düzenli kontrollere ve güncellenmiş talimatları almaya hazırdır.”
GitHub’da Sahte Yıldızların Balonlaşma Sorunu
Açıklama, Socket tarafından Carnegie Mellon Üniversitesi ve Kuzey Carolina Eyalet Üniversitesi’nden akademisyenlerin yanı sıra gerçekleştirilen yeni bir çalışmanın, kötü amaçlı yazılım içeren GitHub depolarının popülaritesini yapay olarak şişirmek için kullanılan orijinal olmayan “yıldızlarda” hızlı bir artışı ortaya çıkarmasıyla geldi.
Bu fenomen bir süredir ortalıkta dolaşıyor olsa da araştırma, sahte yıldızların çoğunluğunun korsan yazılım, oyun hileleri ve kripto para birimi botları gibi görünen kısa ömürlü kötü amaçlı yazılım depolarını teşvik etmek için kullanıldığını keşfetti.
Baddhi Shop, BuyGitHub, FollowDeh, R for Rank ve Twidium gibi GitHub yıldız tüccarları aracılığıyla reklamı yapılan “açık” karaborsanın, 1,32 milyon hesaptan ve 22.915 depoya yayılan 4,5 milyon “sahte” yıldızın arkasında olduğundan şüpheleniliyor. sorunun boyutu.
Baddhi MağazasıHacker Haberleri kurmakpotansiyel müşterilerin 110 $ karşılığında 1.000 GitHub yıldızı satın almasına olanak tanıyor. Sitedeki bir açıklamada “Deponuzun güvenilirliğini ve görünürlüğünü artırmak için GitHub Takipçileri, Yıldızları, Çatalları ve İzleyicileri satın alın” yazıyor. “Gerçek katılım, projenize daha fazla geliştirici ve katkıda bulunanı çeker!”
Araştırmacılar, “npm ve PyPI gibi paket kayıtlarında sahte yıldız kampanyalarına sahip yalnızca birkaç depo yayınlanıyor” söz konusu. “Daha da azı geniş çapta benimseniyor. Sahte yıldız kampanyalarına katılan hesapların en az %60’ında önemsiz etkinlik kalıpları var.”
Açık kaynaklı yazılım tedarik zinciri siber saldırılar için çekici bir vektör olmaya devam ederken, bulgular yıldız sayısının tek başına güvenilmez bir kalite veya itibar sinyali olduğunu ve daha fazla incelenmeden kullanılmaması gerektiğini yineliyor.
Ekim 2023’te WIRED ile paylaşılan bir açıklamada, Microsoft’un sahip olduğu kod barındırma platformu söz konusu yıllardır sorunun farkındadır ve sahte yıldızları hizmetten kaldırmak için aktif olarak çalışmaktadır.
Araştırmacılar, “Bir ölçüm olarak yıldız sayısının ana zayıf noktası, tüm GitHub kullanıcılarının eylemlerinin, tanımında eşit ağırlığı paylaşmasıdır” dedi.
“Sonuç olarak, çalışmamızda gösterdiğimiz gibi, yıldız sayısı, yüksek hacimli bot hesapları veya (tartışmalı olarak düşük itibar) kitle kaynaklı insanlarla kolayca şişirilebilir. Bu tür bir istismardan kaçınmak için GitHub, sinyal deposuna yönelik ağırlıklı bir metrik sunmayı düşünebilir. popülerlik (örneğin, ağ merkeziliğinin boyutlarına dayalı olarak), bunun sahtesini yapmak oldukça zordur.”
