Kuzey Koreli Hackerlar Mastra AI Tedarik Zincirine Sızdı: 140'tan Fazla npm Paketi Tehlike Altında Windows

Kuzey Koreli Hackerlar Mastra AI Tedarik Zincirine Sızdı: 140'tan Fazla npm Paketi Tehlike Altında

Kuzey Koreli Sapphire Sleet grubu, Mastra AI kütüphanesini hedef alan büyük bir tedarik zinciri saldırısı düzenledi. Saldırıda 140'tan fazla npm paket

Kuzey Koreli bir siber saldırı grubunun, yapay zeka destekli uygulamalar geliştirmek için kullanılan açık kaynaklı Mastra kütüphanesini hedef alan geniş çaplı bir tedarik zinciri saldırısı düzenlediği ortaya çıktı. Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından 19 Haziran'da yapılan açıklamaya göre, saldırı "yüksek güvenle" Sapphire Sleet olarak bilinen Kuzey Koreli devlet destekli bir gruba atfedildi. Bu grup daha önce ağırlıklı olarak finans sektörünü hedef alan siber saldırılarla biliniyordu.

Microsoft, Mastra kampanyasında kullanılan altyapı ve saldırı sonrası taktik, teknik ve prosedürlerin (TTP'ler) daha önce belgelenmiş Sapphire Sleet faaliyetleriyle tutarlı olduğunu gözlemledi. Sapphire Sleet, Microsoft tarafından verilen bir kod adı olup, diğer tehdit istihbaratı araştırmacıları bu grubu APT38, BlueNoroff, Stardust Chollima ve TA444 gibi isimlerle de takip etmektedir. Grubun özellikle finans, blockchain ve kripto para sektörlerindeki kuruluşlara yönelik sosyal mühendislik saldırılarında LinkedIn'i kullanma geçmişi bulunuyor.

Microsoft'a göre, Sapphire Sleet'in "büyük ölçekli npm tedarik zinciri saldırısı" sonucunda npm kayıt defterindeki Mastra kapsamındaki 140'tan fazla paket etkilendi. npm, dünyanın en büyük açık kaynaklı JavaScript kod paylaşım veritabanıdır. Saldırganların hedefi, geliştiricileri tehlikeye atmaktı. Güvenlik ihlalinin kaynağı, bir npm bakıcı hesabının ele geçirilmesi ve yayınlama ayrıcalıklarının kötüye kullanılarak Mastra kodunun, easy-day-js adlı kötü amaçlı bir bağımlılıkla zehirlenmiş örneklerini yayınlamak oldu.

Zehirlenmiş bu örnek, Aktarım Katmanı Güvenliği (TLS) sertifika doğrulamasını devre dışı bırakarak saldırgan kontrolündeki bir komuta ve kontrol (C2) sunucusuna bağlandı. Bu sunucu daha sonra Windows, MacOS ve Linux sistemlerinde çalıştırılabilen bir kötü amaçlı yazılım yükü indirdi. Saldırının iki temel amacı vardı. İlk olarak, Kuzey Kore'ye atfedilen birçok siber saldırıda olduğu gibi, kampanya kripto para cüzdanlarını hedef aldı. Kötü amaçlı yazılım, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink ve diğerleri dahil olmak üzere 166 farklı kripto para cüzdanı tarayıcı uzantısı kimliğini arayarak bunlardan para çalmayı amaçladı.

İkinci olarak, kötü amaçlı yazılım, enfekte makinede keşif faaliyetleri yürüterek bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler gibi bilgileri topladı. Ayrıca tarayıcı geçmişini de toplama yeteneğine sahipti. Microsoft, ayrıcalıklı hesapların nasıl ele geçirildiğine dair detay vermemiş olsa da, Sapphire Sleet'in geçmişte finans, blockchain ve kripto para sektörlerindeki kurbanlara karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenlediğini belirtti.

Bu tür saldırılara karşı korunmak için Microsoft, geliştiricilere ve kuruluşlara şu önerilerde bulundu: npm paketlerini kullanmadan önce güvenilir kaynaklardan geldiğinden emin olun; paket bağımlılıklarını düzenli olarak denetleyin; çok faktörlü kimlik doğrulama kullanarak hesap güvenliğini artırın; ve şüpheli etkinlikleri izlemek için güvenlik araçları kullanın. Ayrıca, açık kaynak projelerinde bakıcı hesaplarının güvenliğine özel önem verilmesi ve sosyal mühendizlik saldırılarına karşı eğitimler düzenlenmesi gerektiği vurgulandı.

Kaynak: infosecurity-magazine.com

Paylaş: