AsyncAPI npm Paketlerine Sızan Kötü Amaçlı Yazılım: Kripto Para ve Kimlik Bilgileri Hedefte Yazılım

AsyncAPI npm Paketlerine Sızan Kötü Amaçlı Yazılım: Kripto Para ve Kimlik Bilgileri Hedefte

AsyncAPI npm paketlerine bulaşan kötü amaçlı yazılım, kripto para cüzdanları ve hassas verileri hedef alıyor. Beş zararlı paket tespit edildi.

Popüler açık kaynaklı AsyncAPI projesinin npm paketlerine yönelik bir tedarik zinciri saldırısında, beş kötü amaçlı sürüm yayımlandı. Saldırgan, GitHub Actions iş akışındaki bir yanlış yapılandırmayı kullanarak @asyncapi ad alanına trojanize edilmiş paketler yükledi. Haftalık toplam indirme sayısı 2,25 milyonu aşan bu paketler, kimlik bilgilerini, kripto para cüzdanlarını ve hassas verileri çalan bir uzaktan erişim truva atı (RAT) içeriyordu.

Saldırı, 14 Temmuz'da iki AsyncAPI GitHub deposunun ele geçirilmesiyle başladı. Güvenlik firmaları, saldırganın CI/CD boru hattını tehlikeye attığını ve npm belirteçlerini çalmadığını veya bakımcıları hedef almadığını belirtiyor. Step Security'ye göre, saldırgan yer tutucu bir git kimliği kullanarak commit'ler gönderdi ve her deponun gerçek yayın iş akışının npm'in GitHub OIDC güvenilir yayıncı entegrasyonu aracılığıyla yayın yapmasına izin verdi. Bu sayede ortaya çıkan paketler, meşru SLSA kanıtına sahip oldu.

Yayımlanan kötü amaçlı sürümler şunlardır: @asyncapi/[email protected] (1.0.1), @asyncapi/[email protected] (0.0.2), @asyncapi/[email protected] (0.0.2) ve @asyncapi/[email protected] (0.1.2). Socket'e göre ilk aşama implant, gizlenmiş bir JavaScript ifadesi olup, enfekte dosya içe aktarıldığında bir indiriciyi tetikliyor. İkinci aşama, IPFS eşler arası içerik dağıtım ağından alınan ve gizli bir süreç olarak çalıştırılan bir betik.

Wiz tarafından analiz edilen üçüncü aşama yük, 92.000 satırlık modüler bir kötü amaçlı yazılım çerçevesi. Sistemde kalıcılık sağlıyor ve komuta kontrol (C2) sunucusuyla HTTP, Nostr röleleri, Ethereum akıllı sözleşmeleri ve libp2p ağ üzerinden iletişim kuruyor. SafeDep araştırmacıları, bu yükün geçmiş tedarik zinciri saldırılarında görülen Miasma arka kapısına işaret ettiğini, ancak aynı operatörlerin özel bir yapısı veya kaynak yayımlandıktan sonra Miasma markasını benimseyen ayrı bir grup olabileceğini belirtiyor.

Sistem Güvenliği

Kötü amaçlı yazılımın amacı, kimlik bilgileri, anahtarlar, belirteçler, tarayıcı verileri, CI/CD sistemlerinden hassas bilgiler, yapay zeka geliştirme araçları, kripto para cüzdanları ve veritabanlarını çalmak. Ayrıca Gitleaks ve HackBrowserData araçlarını indirerek bilgi toplamaya yardımcı oluyor. Ancak Aikido'ya göre, tüm bu işlevler çalışmıyor ve veri toplama aracı hiçbir şey toplamadan çıkıyor. Yine de araştırmacılar, kabuk kullanılarak bunların manuel olarak yapılabileceğini belirtiyor. Ox Security, kötü amaçlı yazılımın Rusya'yı kontrol ettiğini ve eşleşme durumunda işlemi sonlandırdığını tespit etti.

Önemli Gelişmeler

Tüm kötü amaçlı sürümler npm'den kaldırılmış olsa da, mevcut kurulumlar ve maruz kalma süresi boyunca oluşturulan kilit dosyaları hâlâ tehlikeli olabilir. Maruz kalma süresi 14 Temmuz'da 07:10 ile 11:18 UTC arasında yaklaşık dört saat yedi dakikadır. Önerilen eylemler arasında bilinen iyi dosyalara sabitleme, kilit dosyalarını yeniden oluşturma, gizli 'NodeJS/sync.js' yükünü kaldırma, tüm kötü amaçlı işlemleri sonlandırma ve etkilenen sistemlerdeki kimlik bilgilerini döndürme yer alıyor.

Kaynak: bleepingcomputer.com

Paylaş: