Geliştiricilerin yazılım tedarik zinciri saldırılarının hedefi olmaya devam ettiğinin bir başka işareti, Rust programlama dilinin sandık kayıt defterinde bir dizi kötü amaçlı paketin keşfedilmesidir.
14-16 Ağustos 2023 tarihleri arasında yüklenen kütüphaneler “amaperf” Phylum adlı kullanıcı tarafından yayınlandı. söz konusu Geçen hafta yayınlanan bir raporda. Artık kaldırılan paketlerin adları şu şekildedir: postgress, if-cfg, xrvrv, serd, oncecell, lazystatic ve envlogger.
Kampanyanın nihai amacının ne olduğu belli değil ancak şüpheli modüllerin işletim sistemi bilgilerini (örn. Windows, Linux, macOS veya Bilinmeyen) yakalamak ve verileri sabit kodlu bir Telegram kanalına iletmek için işlevler barındırdığı tespit edildi. mesajlaşma platformunun API’si aracılığıyla.
Bu, saldırının ilk aşamalarında olabileceğini ve tehdit aktörünün, iyileştirilmiş veri sızdırma yeteneklerine sahip sahte güncellemeler sunmak için mümkün olduğu kadar çok sayıda geliştirici makinesini tehlikeye atmak için geniş bir ağ oluşturduğunu gösteriyor.
Şirket, “SSH anahtarlarına, üretim altyapısına ve şirket IP’sine erişim sayesinde geliştiriciler artık son derece değerli bir hedef haline geldi” dedi.
Bu, Crates.io’nun bir tedarik zinciri saldırısının hedefi olarak ortaya çıktığı ilk sefer değil. Mayıs 2022’de SentinelOne, hassas bilgileri çalmak ve rastgele dosyalar indirmek için yazım hatası tekniklerinden yararlanan CrateDepression adlı bir kampanyayı ortaya çıkardı.
Açıklama, Phylum’un aynı zamanda adında bir npm paketini de ortaya çıkarmasıyla geldi. e-posta yardımcısı Bu, kurulduktan sonra makine bilgilerini uzak bir sunucuya sızdırmak için bir geri arama mekanizması kurar ve karmaşık bir saldırının parçası olarak kendisiyle birlikte gönderilen şifrelenmiş ikili dosyaları başlatır.
Modül, reklamı yapıldı “E-posta adresini farklı formatlara göre doğrulamak için bir JavaScript kitaplığı” olarak npm tarafından kaldırıldı, ancak 24 Ağustos 2023’te depoya yüklendiğinden bu yana 707 kez indirilmeden önce değil.
Şirket, “Veri sızdırma işlemi HTTP aracılığıyla yapılıyor ve bu başarısız olursa saldırgan, DNS aracılığıyla veri sızdırmaya geri dönüyor” dedi. söz konusu. “İkili dosyalar aşağıdaki gibi penetrasyon testi araçlarını kullanır: dnscat2, cesaretve Kobalt Saldırı İşareti.”
“Npm kurulumunu çalıştırmak gibi basit bir eylem, bu ayrıntılı saldırı zincirini başlatabilir ve geliştiricilerin, yazılım geliştirme faaliyetlerini gerçekleştirirken dikkatli ve dikkatli davranmasını zorunlu hale getirebilir.”
