Siber güvenlik araştırmacıları, NPM kayıt defterinde, yerel olarak kurulu başka bir paketi enfekte etmek için tasarlanmış iki kötü amaçlı paket keşfettiler ve açık kaynaklı ekosistemi hedefleyen yazılım tedarik zinciri saldırılarının sürekli evriminin altını çizdi.
Söz konusu paketler Ether-Provider2 Ve Ether-Providerzeskiden 73 kez indirildi yayınlanmış Kötü amaçlı yazılım yazarının kendileri tarafından kaldırılan ikinci paket, herhangi bir indirme çekmedi.
“Onlar kötü niyetli yükü akıllıca gizli olan basit indiricilerdi,” söz konusu Hacker News ile paylaşılan bir raporda.
“İlginç kısım ikinci aşamalarında yatıyordu, bu da meşru NPM paketini ‘yama’ olacak eterlerkötü amaçlı yükü içeren yeni bir dosya ile yerel olarak yüklü. Bu yamalı dosya nihayetinde ters bir kabuğa hizmet eder. “
Geliştirme, tehdit aktörlerinin taktiklerinin yeni bir yükselişine işaret ediyor, çünkü haydut paketlerin kaldırılması, değişiklikler popüler kütüphanede bulunduğundan, kötü niyetli işlevlerin tehlikeye atılmış makinelerinden kurtulmayacak. Bunun üzerine, şüphesiz bir kullanıcı, Ether-Provider2 sistemde kaldığında Ethers paketini kaldırırsa, paket daha sonraki bir zamanda tekrar yüklendiğinde yeniden enfeksiyon riskiyle karşı karşıya kalır.
ReversingLabs’ın Ethers-Provider2 analizi, bunun yaygın olarak kullanılan bir sürü versiyonundan başka bir şey olmadığını ortaya koydu. SSH2 Uzak bir sunucudan ikinci aşamalı bir kötü amaçlı yazılım almak için install.js içinde kötü amaçlı bir yük içeren NPM paketi (“5.199.166[.]1: 31337/yükleme “), geçici bir dosyaya yazın ve çalıştırın.
Yürütmeden hemen sonra, herhangi bir iz bırakmaktan kaçınmak amacıyla geçici dosya sistemden silinir. İkinci aşamalı yük, kendi adına, NPM paket eterlerinin yerel olarak yüklenip yüklenmediğini kontrol etmek için sonsuz bir döngü başlatır.
Paketin zaten mevcut olması veya taze yüklenmesi durumunda, aynı sunucudan üçüncü aşamayı almak ve yürütmek için ek kodda paketlenen sahte bir sürümle “sağlayıcı-jsonrpc.js” adlı dosyalardan birini değiştirerek harekete geçer. Yeni indirilen yük, tehdit oyuncusunun sunucusuna SSH üzerinden bağlanmak için ters bir kabuk olarak işlev görür.
Valentić, “Bu, bu istemciyle açılan bağlantının, sunucudan özel bir mesaj aldıktan sonra ters bir kabuğa dönüştüğü anlamına geliyor.” Dedi. “Paket Ether-Prrovider2 tehlikeye atılmış bir sistemden kaldırılsa bile, müşteri yine de belirli koşullar altında kullanılacak ve saldırganlar için bir dereceye kadar kalıcılık sağlayacaktır.”
Bu aşamada, NPM kayıt defterindeki resmi Ethers paketinin tehlikeye atılmadığını belirtmek gerekir, çünkü kötü amaçlı değişiklikler yerel olarak kurulum sonrası yapılır.
İkinci paket olan Ethers-Providerz, “@EtherSproject/Tedarikçileri” adlı yerel olarak yüklü bir NPM paketiyle ilişkili dosyaları değiştirmeye çalışması nedeniyle benzer şekilde davranır. Kaynak kodu referansları bunun olabileceğini göstermesine rağmen, kütüphane tarafından hedeflenen tam NPM paketi bilinmemektedir. yükleyici.js.
Bulgular, tehdit aktörlerinin geliştirici sistemlerinde kötü amaçlı yazılımlara hizmet ettiği ve devam ettiği yeni yolları vurgulamaya hizmet ederek, açık kaynaklı depolardan paketlerin indirilmeden ve kullanmadan önce dikkatlice incelenmesini zorunlu kılmaktadır.
Valentić, “Düşük indirme numaralarına rağmen, bu paketler güçlü ve kötü niyetlidir.” Dedi. “Görevleri başarılı olursa, yerel olarak kurulu paket eterleri bozacak ve bu paket kaldırılsa bile tehlikeye atılmış sistemlerde kalıcılığı koruyacaklar.”
