Kuzey Koreli Hackerların NPM Üzerinden OtterCookie Kötü Amaçlı Yazılımını Yayması
Kuzey Koreli siber tehdit aktörleri, “Contagious Interview” adlı kampanyaları doğrultusunda NPM (Node Package Manager) kayıt defterine son bir ay içinde 197 yeni kötü amaçlı paket daha eklediler. Bu paketler, 31,000’in üzerinde indirme sayısına ulaştı ve OtterCookie’nin güncellenmiş bir versiyonunu taşıyor. Bu yeni malware, BeaverTail ile önceki OtterCookie sürümlerinin özelliklerini bir araya getiriyor.
Kötü Amaçlı Paketlerin Yaygınlığı
Yapılan incelemelere göre, aşağıda listelenen bazı “loader” paketleri kötü amaçlı yazılımları yüklemek için kullanılıyor:
- bcryptjs-node
- cross-sessions
- json-oauth
- node-tailwind
- react-adparser
- session-keeper
- tailwind-magic
- tailwindcss-forms
- webpack-loadcss
Bu paketlerin çoğu, kullanıcıların sistemine sızarak çeşitli verileri çalmayı hedefliyor. Malware çalıştırıldığında, sanal makineleri ve kumanda alanlarını geçmek için evrim geçirirken, kullanıcının bilgisayarını profilleyip komut ve kontrol (C2) kanalı kurarak uzaktan erişim sağlıyor.
OtterCookie ve BeaverTail Arasındaki Farklar
Cisco Talos, geçen ayki bir raporunda OtterCookie ile BeaverTail arasındaki belirsiz sınırları ele aldı. Sri Lanka merkezli bir kuruma etki eden bir enfeksiyon, bir kullanıcının sahte bir iş görüşmesinin parçası olarak bir Node.js uygulamasını çalıştırmasıyla ortaya çıktı. Bu durum, Kuzey Koreli tehdit aktörlerinin siber saldırı yöntemlerini ne kadar geliştirerek istismar ettiğini gösteriyor.
İletişim Mekanizmaları
Bu paketler, hard-coded bir Vercel URL’si (tetrismic.vercel[.]app) ile bağlantı kurarak, tehdit aktörlerinin kontrolündeki bir GitHub deposundan OtterCookie yüklemesini gerçekleştiriyor. Bu GitHub hesabı artık erişilebilir değil. Uzmanlar, “Contagious Interview” kampanyasının, NPM’deki en yaygın kötü amaçlı yazılım dağıtım yöntemlerinden birisi haline geldiğini belirtiyor.
Kuzey Koreli hackerların, siber saldırı yöntemlerini modern JavaScript ve kripto odaklı geliştirme akışlarına tamamen adapte olmuş durumda. Ayrıca, bu kötü amaçlı paketlerin, kullanıcıların iş görüşmeleri sırasında istismar edilmelerini sağlamak amacıyla tasarlandığı vurgulanıyor.
Ek Tehditler ve Diğer Kampanyalar
Bu gelişmeler, Kuzey Koreli tehdit aktörlerinin sahte değerlendirme temalı web siteleri aracılığıyla Click-Fake Interview adı verilen başka bir kampanya başlattığını gösteriyor. Bu kampanya, kamera veya mikrofon sorunlarını “düzeltmek” adı altında GolangGhost adlı zararlı yazılımı dağıttı. Bu tür kötü amaçlı yazılımlar, sistem bilgilerini toplayarak temel kullanıcı verilerine erişim sağlıyor.
Kötü amaçlı yazılım, gizli dosyaları yükleyip indirmekte, işletim sistemi komutlarını çalıştırmakta ve Chrome’dan bilgi toplamakta. Kullanıcıların bilgisayarına kalıcı hale gelmek için ise bir macOS LaunchAgent yazma taktiği kullanılıyor. Böylece, kullanıcı giriş yaptığında otomatik olarak çalıştırılıyor.
Sonuç olarak, Kuzey Koreli siber tehdit aktörleri, sahte iş başvurusu süreçlerini kullanarak bireyleri hedef alırken, teknoloji dünyasında yaygın olan kütüphaneleri kötüye kullanmayı sürdürüyor. Dikkatli olmak ve güvenli yazılımları tercih etmek, bu tür tehditlere karşı etkili birer önlem olabilir.
