Geliştiricilere Tuzak: Popüler npm Paketini Taklit Eden Zararlı RAT Keşfedildi Siber Güvenlik

Geliştiricilere Tuzak: Popüler npm Paketini Taklit Eden Zararlı RAT Keşfedildi

npm deposunda popüler build aracını taklit eden zararlı paket, geliştirici makinelerine çok aşamalı Windows RAT bulaştırıyor. İşte saldırının detaylar

npm deposunda, JavaScript ekosisteminin en yaygın build araçlarından birini taklit eden kötü niyetli bir paket keşfedildi. 'postcss-minify-selector-parser' adını taşıyan bu sahte paket, haftada 150 milyondan fazla indirilen popüler 'postcss-selector-parser' kütüphanesinin adını kullanarak geliştiricileri kandırmayı amaçlıyor. JFrog tarafından yapılan analize göre, paket yüklendiği anda çok aşamalı bir Windows uzaktan erişim truva atı (RAT) devreye giriyor.

Saldırı, tedarik zinciri güvenlik açıklarını hedef alıyor. Paket, gerçek paketle aynı anahtar kelimeleri (postcss, selector, parser) kullanarak ve meşru postcss-selector-parser'ı bağımlılıkları arasında listeleyerek hızlı bir incelemede güvenilir görünüyor. Aynı yayıncıya ait 'postcss-minify-selector' ve 'aes-decode-runner-pro' adlı iki paket daha tespit edildi. Bu paketlerin çözülen yükleri, aynı Windows saldırı zincirini işaret ediyor.

Zararlı kod, paket içe aktarıldığı anda çalışıyor. İçe aktarma işlemi, şifreli bir blob ve AES-256-GCM çözücü içeren bir dosyayı tetikliyor. Çözülen dosya, bir PowerShell betiğini diske yazıp çalıştırarak dropper görevi görüyor. PowerShell betiği, 'nvidiadriver[.]net' alan adından ZIP arşivi indirip geçici klasöre açıyor. Arşiv, gömülü bir Python çalışma zamanı ve Nuitka ile derlenmiş modüller içeriyor. Bir VBScript başlatıcı, bu modülleri çalıştırarak RAT'ı başlatıyor.

Detaylar ve Etkileri

RAT, komut sunucusuyla şifreli HTTP üzerinden iletişim kuruyor. Kalıcılık için kayıt defterine çalıştırma anahtarı ekliyor. Hedef makineyi profilleyip sanal makine olup olmadığını kontrol ediyor. Uzaktan kabuk açma, dosya transferi ve veri çalma yeteneklerine sahip. Özellikle Google Chrome'u hedef alan RAT, kayıtlı şifreleri çalmak ve tarayıcının yeni uygulama bağlantılı şifrelemesini aşmak üzere tasarlanmış. JFrog, bu paketleri yükleyenlerin derhal kaldırmasını, geçici klasör ve kayıt defteri izlerini kontrol etmesini ve kayıtlı kimlik bilgilerini değiştirmesini öneriyor.

Paylaş: