AsyncAPI npm Paketlerine Sızan Kötü Amaçlı Yazılım: Kullanıcı Bilgilerini Çalan Truva Atı Siber Güvenlik

AsyncAPI npm Paketlerine Sızan Kötü Amaçlı Yazılım: Kullanıcı Bilgilerini Çalan Truva Atı

AsyncAPI npm paketlerine sızan kötü amaçlı yazılım, kullanıcı bilgilerini çalan bir truva atı. Tedarik zinciri saldırısıyla yayılan beş sürüm, GitHub

Node Package Manager (npm) üzerinde yayınlanan AsyncAPI paketlerinin beş kötü amaçlı sürümü, tedarik zinciri saldırısıyla kullanıcıların sistemlerine sızdı. Saldırı, bilgi çalma yeteneklerine sahip bir uzaktan erişim truva atı (RAT) içeriyor. Tehdit aktörü, yanlış yapılandırılmış bir GitHub Actions iş akışını istismar ederek @asyncapi ad alanına bulaştırılmış paketler yükledi. Bu paketlerin haftalık toplam indirme sayısı 2.25 milyonu aşıyor.

Birden fazla güvenlik şirketi, 14 Temmuz'da bir saldırganın iki AsyncAPI GitHub deposunu ele geçirdiğini ve proje dosyalarına kötü amaçlı yazılım enjekte ettiğini doğruladı. Step Security'den yapılan açıklamada, 'Her iki saldırı da CI/CD iş akışı uzlaşmasıdır; çalıntı npm token'ları veya kötü niyetli bakımcılar değil' denildi. Araştırmacılar, 'Saldırgan, yer tutucu bir git kimliği altında commit'ler gönderdi ve her deponun gerçek yayın iş akışının npm'in GitHub OIDC güvenilir yayıncı entegrasyonu aracılığıyla yayın yapmasına izin verdi' şeklinde açıkladı.

Bu şekilde saldırgan, ortaya çıkan paketlerin meşru SLSA kaynak belgelerine sahip olmasını sağladı; bu da yetkili bir iş akışından geldiklerini gösteriyor. npm'e yüklenen kötü amaçlı AsyncAPI paketleri şunlar: @asyncapi/java-spring-cloud-stream-template, @asyncapi/java-spring-template, @asyncapi/parser, @asyncapi/react-component ve @asyncapi/studio. Uygulama güvenlik şirketi Socket, yayınlanan paketlerdeki ilk aşama implantının, bulaşmış dosya içe aktarıldığında bir indiriciyi tetikleyen gizlenmiş bir JavaScript ifadesi olduğunu belirtiyor.

İkinci aşama betiği, yapılandırma ayrıntılarını ve ana çalışma zamanını içerir ve IPFS eşler arası içerik dağıtım ağından alınarak gizli bir işlem olarak başlatılır. Bulut ve uygulama güvenlik şirketi Wiz, üçüncü aşama yükünün 'modüler mimariye sahip 92.000 satırlık bir kötü amaçlı yazılım çerçevesi' olduğunu ve sistemde kalıcılık sağlayarak HTTP, Nostr röleleri, Ethereum akıllı sözleşmeleri ve libp2p mesh ağı üzerinden komuta ve kontrol (C2) sunucusuyla iletişim kurduğunu söylüyor.

Son yük, geçmiş tedarik zinciri saldırılarında görülen Miasma arka kapısına işaret eden yapıt adları ve yapılandırma dosyaları kullansa da, SafeDep araştırmacıları kötü amaçlı yazılımın 'aynı operatörler tarafından yapılan özel, paralel bir yapı veya kaynak yayınlandıktan sonra Miasma markasını benimseyen ayrı bir grup' olduğuna inanıyor. Amacı, kimlik bilgileri, kimlik doğrulama anahtarları, token'lar, tarayıcı verileri, CI/CD sistemlerinden ve AI geliştirici araçlarından hassas bilgiler, kripto para cüzdanları ve veritabanlarını içeren sırları çalmak.

Ayrıca kötü amaçlı yazılım kodu, hassas bilgilerin toplanmasına yardımcı olmak için Gitleaks ve HackBrowserData araçlarını indirmesine olanak tanıyor. Ancak siber güvenlik şirketi Aikido'dan yapılan bir rapor, tüm bu işlevlerin çalışmadığını ve veri toplama aracının hiçbir şey toplamadan çıktığını belirtiyor. Yine de araştırmacılar, tüm bunların kabuk kullanılarak manuel olarak gerçekleştirilebileceğini söylüyor. Ox Security ayrıca, kötü amaçlı yazılımın Rusya için yerel bir kontrol yaptığını ve eşleşme varsa işlemini sonlandırdığını kaydetti. Şu an itibarıyla dört kötü amaçlı paketin beş sürümü de npm'den kaldırıldı, ancak geliştiriciler mevcut kurulumların ve maruz kalma penceresi sırasında oluşturulan kilit dosyalarının hala kötü amaçlı sürümleri içerebileceğini unutmamalı. Maruz kalma penceresi, 14 Temmuz'da 07:10 ile 11:18 UTC arasında yaklaşık dört saat yedi dakikayı kapsıyor. Önerilen eylemler: bilinen iyi dosyalara sabitleme, kilit dosyalarını yeniden oluşturma, gizli 'NodeJS/sync.js' yükünü kaldırma, tüm kötü amaçlı işlemleri sonlandırma ve etkilenen sistemlerdeki kimlik bilgilerini döndürme.

Kaynak: bleepingcomputer.com

Paylaş: