Node Package Manager (npm) üzerinde yayımlanan yedi paket, kötü niyetli bir biçimde Adspect adlı bulut tabanlı hizmeti kullanarak, araştırmacıları potansiyel kurbanlardan ayırmakta ve onları zararlı lokasyonlara yönlendirmektedir.
Bu saldırının amacı, hedefleri kripto para dolandırıcılık sitelerine yönlendirmektir. Uygulama güvenliği şirketi Socket tarafından yapılan bir analiz, bu kötü niyetli paketlerin eylül ile kasım ayları arasında ‘dino_reborn’ (geneboo@proton[.]me) adıyla yayımlandığını ortaya koymuştur. Bu paketlerden altısı kötü amaçlı kod içerirken, yedinci paket, kötü niyetli bir web sayfası oluşturmak için kullanılmaktadır.
Kötü Amaçlı Paketlerin Listesi
- signals-embed
- dsidospsodlks
- applicationooks21
- application-phskck
- integrator-filescrypt2025
- integrator-2829
- integrator-2830
Socket araştırmacılarına göre, signals-embed paketinin kendisi kötü niyetli değildir ve sadece bir beyaz aldatmaca web sayfası oluşturmak için kod içerir. Diğer altı paket ise, ziyaretçilerin verilerini toplayarak trafiğin bir araştırmacıdan mı, yoksa potansiyel bir kurbandan mı geldiğini belirlemeye çalışmaktadır.
Adspect Cloaking Mekanizması
Altı kötü niyetli paket, araştırmacılara göre 39kB büyüklüğünde ve cloaking mekanizması içeren bir kod barındırmaktadır. Bu kod otomatik olarak sayfa yüklenirken çalışmakta ve ek bir kullanıcı eylemi gerektirmemektedir. Saldırı, zararlı JavaScript kodunun, tehlikeye atılmış geliştirici web uygulaması üzerinde yüklendiği anda başlamakta ve özellikle analiz araçlarına karşı koruma özellikleri içermektedir.
Socket’a göre, eklenmiş kod sağ tıklama, F12, Ctrl+U ve Ctrl+Shift+I tuşlarına karşı koruma sağlamaktadır. Eğer geliştirici araçları tespit edilirse, sayfa yeniden yüklenmektedir. Bu durum, güvenlik araştırmacılarının web sayfasını incelemesini zorlaştırmaktadır.
Kaynak: Socket
Bu script, ziyaretçinin kullanıcı aracını, ana bilgisayarını, yönlendirmesini, URI’sini, sorgu dizisini, protokolünü, dilini, kodlamasını, zaman damgasını ve kabul edilen içerik türlerini toplayarak bir tehdit aktör proxy’sine gönderir.
Gerçek kurbanın IP adresi elde edilmekte ve Adspect API’sine iletilmektedir. Bu API, verileri değerlendirerek ziyaretçiyi sınıflandırmaktadır. Hedef olarak belirlenen ziyaretçiler, sahte bir kripto para markalı (Ethereum, Solana) CAPTCHA sayfasına yönlendirilmektedir. Bu durum, kullanıcı eylemi ile başlatılmış gibi görünen bir yanılsama yaratmaktadır.
Sahte Şirket Sayfası Yüklenmesi
Eğer ziyaretçiler potansiyel araştırmacı olarak işaretlenirse, şüpheleri azaltmak amacıyla masum görünüşlü bir Offlido şirket sayfası yüklenmektedir.
Kaynak: Socket
Adspect, yetkisiz erişim engelleme hizmeti olarak pazarlanan bir bulut tabanlı servistir. Bu hizmet, botlar ve kötü niyetli aktörleri bloke ederek, yalnızca meşru kullanıcıların erişim sağlamasına olanak tanıma vaadindedir.
BleepingComputer, Adspect şirketine bu kötüye kullanımın farkında olup olmadıklarını ve bunu önlemek için hangi mekanizmaların mevcut olduğunu öğrenmek için ulaşmıştır; ancak yayın tarihi itibarıyla yanıt alınamamıştır.
