Microsoft, Kuzey Kore devlet destekli Sapphire Sleet grubunun, Mastra adlı açık kaynaklı yapay zeka aracına yönelik büyük çaplı bir tedarik zinciri saldırısı düzenlediğini doğruladı. 19 Haziran'da Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından yapılan açıklamada, saldırının finans sektörünü hedef alan Sapphire Sleet grubu tarafından gerçekleştirildiği 'yüksek güvenle' değerlendiriliyor. Grup, APT38, BlueNoroff, Stardust Chollima ve TA444 gibi farklı isimlerle de biliniyor.
Saldırı, npm kayıt defterindeki Mastra kapsamında yer alan 140'tan fazla paketi etkiledi. Saldırganlar, bir npm bakıcı hesabını ele geçirerek yayınlama yetkilerini kötüye kullandı ve Mastra kodunun zehirli sürümlerini easy-day-js adlı kötü amaçlı bir bağımlılıkla yayınladı. Bu zehirli sürüm, TLS sertifika doğrulamasını devre dışı bırakarak saldırgan kontrolündeki bir C2 sunucusuna bağlanıyor ve Windows, macOS ve Linux sistemlerinde çalışabilen bir kötü amaçlı yazılım yüklüyordu.
Kötü amaçlı yazılımın iki ana hedefi vardı. İlk olarak, Kuzey Kore'ye atfedilen birçok siber saldırıda olduğu gibi, MetaMask, Phantom, Coinbase Wallet, Binance Wallet ve TronLink gibi 166 farklı kripto para cüzdanı tarayıcı eklentisini hedef alarak bunlardan çalmayı amaçlıyordu. İkinci olarak, yazılım tarayıcı geçmişini topluyor, enfekte cihazda keşif yaparak ana bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler gibi bilgileri ele geçiriyordu.
Microsoft, ayrıcalıklı hesapların nasıl ele geçirildiğine dair ayrıntı vermese de Sapphire Sleet'in finans, blockchain ve kripto para sektörlerindeki kurbanlara karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenleme geçmişine sahip olduğunu belirtti. Microsoft, bu kampanyaya karşı korunmak için geliştiricilere güçlü kimlik doğrulama kullanmaları, paket bütünlüğünü doğrulamaları ve şüpheli etkinlikleri izlemeleri gibi önlemler almalarını tavsiye etti.