Yakın zamanda popüler npm JavaScript kitaplığında ve kayıt defterinde “nodejs-encrypt-agent” adlı iki kod paketinin açık kaynaklı bilgi çalan TurkoRat kötü amaçlı yazılımını içerdiği keşfedildi.
Kötü amaçlı yazılımlarla dolu paketleri keşfeden ReversingLabs araştırmacıları, arkalarındaki saldırganların, paketlerin 20 milyondan fazla indirilmiş başka bir meşru paketin (ajan tabanlı sürüm 6.0.2) kimliğine bürünmesini sağlamaya çalıştığını söylüyorlar.
Bulguları, tehdit aktörlerinin npm’nin yıllardır belirli yazım hatası türlerini hesaba katmamasından yararlanarak potansiyel olarak kuruluşları istemeden kötü amaçlı yazılım indirmeye yönelttiğinin altını çiziyor ve Checkmarx bunu yakın zamanda bir raporda işaretledi.
ReversingLabs araştırmacıları, paket sürüm numaralarındaki düzensizlikler de dahil olmak üzere en son kötü amaçlı paketlerin keşfedilmesinin bir tehlike işareti olduğunu söyledi: bu durumda, geliştiricileri tuzağa düşürmek için kullanılan “tuhaf bir şekilde yüksek sürüm numarası” (6.0.2) kullanıldı. paketin en son sürümü gibi görünen şeyi indirirken.
“Kötü niyetli aktörler, milyonlarca geliştiriciden birinin kandırılarak iyi huylu paket yerine kötü amaçlı paketi indirmesini umuyorlardı.” ReversingLabs raporunda şunları söyledi:.
Tnpm kitaplığından kaldırılan urkoRat paketi, dosyaları çalışma zamanı sırasında erişilebilen sanal bir dosya sisteminde depolanan tek bir yürütülebilir dosyada bir araya getirmek için “pkg” npm paketini kullandı.
nodejs-encrypt-agent’ın, paket çalıştırıldıktan hemen sonra çalıştırılan ve pakette gizli kötü amaçlı komutlar kullanılarak yürütülen kötü amaçlı bir taşınabilir yürütülebilir (PE) dosyasının dahil edilmesi dışında, temel aldığı ajan-temel modülüne çok benzediği keşfedildi. index.js dosyası.
Kötü niyetli davranışlar arasında Windows sistem dizinlerine yazma ve bu dizinlerden silme, komutları çalıştırma ve DNS ayarlarını kurcalama yer alıyordu.
Kötü Amaçlı npm Paketlerini Nasıl Tespit Edebilirsiniz?
ReversingLabs’te yazılım tehdidi araştırmacısı olan Lucija Valentić, kötü amaçlı paketleri tanımlamanın birçok yolu olduğunu açıklıyor.
“Paket havuzları kaynak kodu içerdiğinden, en basit yollardan biri onu manuel olarak incelemektir” diyor. “Paketler ayrıca yalıtılmış bir ortama kurulabilir ve çalıştırılabilir ve olağan dışı davranışlar açısından incelenebilir.”
ABelirli bir paket için tanıtılmayan veya beklenmeyen her türlü yerinde olmayan içerik veya davranış (örneğin, ağla ilgili olmayan paketlerdeki ağ istekleri), iki kez kontrol edilmeli ve doğrulanmalıdır.
Valentić, “Belirli bir işlevi uygulamak için harici bir bağımlılığa ihtiyacınız olup olmadığını her zaman kontrol edin – basit bir şeyse, projenize doğrulanmamış kod eklemektense bunu kendiniz halletmek daha iyi olabilir” diye ekliyor. “Gerçekten bir kitaplık kullanmanız gerekiyorsa, adını ve itibarını kontrol edin ve doğru kitaplığı eklediğinizden emin olmak için kodu gözden geçirin.”
Yazılım Tedarik Zinciri Tehdidi
Bu arada, kötü amaçlı nodejs-encrypt-agent iki ayda yaklaşık 500 kez indirildi, ve nodejs-cookie-proxy-agent 700’den az indirmeye sahipti.
Raporda, “Yine de, kötü amaçlı TurkoRat’ın bilinmeyen sayıda geliştirici makinesinde çalıştırılmasından neredeyse kesinlikle kötü amaçlı paketler sorumluydu” uyarısı yapıldı. “Bu tavizin uzun vadeli etkisini ölçmek zor.”
npm, NuGet ve PyPI’ye yönelik otomatik siber saldırıların artması, tehdit aktörlerinin artan karmaşıklığının ve açık kaynak yazılım tedarik zincirlerine yönelik tehditlerin altını çiziyor. Paketleri ve kullanıcı hesaplarını oluşturmak için otomatik süreçlerin kullanılması, güvenlik ekiplerinin paketleri tanımlamasını ve kaldırmasını zorlaştırıyor.
Mart ayında, .NET kod havuzundaki bir düzineden fazla bileşenin Coinbase ve Microsoft ASP.NET gibi diğer meşru yazılımları taklit ettiği ve kurulum sırasında herhangi bir uyarı veya uyarı olmaksızın kötü amaçlı bir komut dosyası çalıştırdığı keşfedildi.
Temmuz 2022’de ReversingLabs’teki analistler, birden çok site ve uygulamadan form verilerini çalmak için JavaScript karartıcılarla yüklenmiş 24’ten fazla kötü amaçlı npm paketi kullanan yaygın bir kampanyayı ortaya çıkardı.
Google’ın da aralarında bulunduğu teknoloji devleri, geliştiricilerin kullanmayı düşündükleri paketler hakkında bilgi edinmelerine yardımcı olan deps.dev API’si ve kuruluşların aynı açık kaynağı dahil etmesine olanak tanıyan Assured OSS aracılığıyla açık kaynak yazılım tedarik zincirinde güvenliği desteklemek için adımlar atıyor. Google’ın güvenliğini sağladığı ve kendi geliştirici iş akışlarında kullandığı paketler.
