Microsoft, Mastra adlı açık kaynaklı TypeScript kütüphanesine yönelik bir tedarik zinciri saldırısının arkasında Kuzey Koreli hackerların olduğunu duyurdu. 19 Haziran'da Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından yapılan açıklamada, saldırının Sapphire Sleet olarak bilinen Kuzey Kore devlet destekli bir grup tarafından gerçekleştirildiği belirtildi. Grup daha önce finans sektörünü hedef almasıyla tanınıyor.
Saldırı, Mastra'nın NPM kayıt defterindeki 140'tan fazla paketini etkiledi. Saldırganlar, bir NPM bakıcı hesabını ele geçirerek yayınlama yetkilerini kötüye kullandı ve Mastra koduna easy-day-js adlı kötü amaçlı bir bağımlılık ekledi. Bu sayede TLS sertifika doğrulamasını devre dışı bırakarak saldırganların kontrolündeki bir komut ve kontrol sunucusuna bağlanan ve Windows, macOS ile Linux sistemlerinde çalışabilen bir kötü amaçlı yazılım dağıtıldı.
Kötü amaçlı yazılımın iki ana hedefi vardı. İlk olarak, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink gibi 166 farklı kripto para cüzdanı tarayıcı eklentisini tespit ederek bu cüzdanlardan çalmayı amaçlıyordu. İkinci olarak, tarayıcı geçmişini toplama, enfekte cihazda keşif yapma (hostname, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler gibi bilgileri toplama) yeteneklerine sahipti.
Microsoft, Sapphire Sleet'in geçmişte finans, blok zinciri ve kripto para sektörlerindeki kurbanlara karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenlediğini belirtti. Saldırıya karşı korunmak için Microsoft, geliştiricilere güvenilir olmayan kaynaklardan paket yüklememelerini, NPM hesaplarını iki faktörlü kimlik doğrulama ile korumalarını ve kötü amaçlı bağımlılıkları tespit etmek için güvenlik araçları kullanmalarını tavsiye ediyor.