Microsoft, Kuzey Koreli devlet destekli bir siber saldırı grubunun, yapay zeka destekli uygulamalar geliştirmek için kullanılan açık kaynaklı Mastra aracını hedef alan bir tedarik zinciri saldırısı düzenlediğini açıkladı. Teknoloji devi, saldırının Sapphire Sleet olarak bilinen ve genellikle finans sektörünü hedef alan Kuzey Koreli bir grup tarafından gerçekleştirildiğini 'yüksek güvenle' değerlendirdiğini belirtti. Microsoft'un tehdit istihbarat ekibi, saldırıda kullanılan altyapı ve tekniklerin daha önce belgelenen Sapphire Sleet faaliyetleriyle uyumlu olduğunu tespit etti.
Saldırı, dünyanın en büyük JavaScript kodu paylaşım platformu olan npm kayıt defterinde Mastra kapsamındaki 140'tan fazla paketi etkiledi. Microsoft, bu 'büyük ölçekli npm tedarik zinciri saldırısı'nın amacının geliştiricileri hedef almak olduğunu vurguladı. Saldırganlar, bir npm bakıcı hesabını ele geçirerek, yayınlama yetkilerini kötüye kullandı ve Mastra kodunun yerine easy-day-js adlı kötü amaçlı bir bağımlılık içeren zehirli sürümler yayınladı. Bu zehirli sürüm, TLS sertifika doğrulamasını devre dışı bırakarak saldırganların kontrolündeki bir komuta ve kontrol (C2) sunucusuna bağlanıyor ve Windows, macOS ile Linux sistemlerinde çalışabilen bir kötü amaçlı yazılım yüklüyordu.
Kötü amaçlı yazılımın iki ana hedefi vardı. İlk olarak, Kuzey Kore'ye atfedilen birçok siber saldırı gibi, kripto para cüzdanlarını hedef alıyordu. Yazılım, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink gibi 166 farklı kripto para cüzdanı tarayıcı eklentisinin kimliğini tarayarak bunlardan çalma amacı taşıyordu. İkinci olarak, yazılım tarayıcı geçmişini toplama, enfekte makinede keşif yapma, ana bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler hakkında bilgi toplama gibi yeteneklere sahipti.
Teknik Analiz
Microsoft, ayrıcalıklı hesapların nasıl ele geçirildiğine dair detay vermese de, Sapphire Sleet'in finans, blok zinciri ve kripto para sektörlerindeki kurbanlara karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenleme geçmişine sahip olduğunu belirtti. Microsoft, bu tür saldırılara karşı korunmak için geliştiricilerin npm paketlerini dikkatlice incelemesi, güvenilir kaynaklardan gelen güncellemeleri kullanması ve çok faktörlü kimlik doğrulama gibi ek güvenlik önlemleri alması gerektiğini tavsiye ediyor.