Microsoft, açık kaynaklı Mastra AI platformuna yönelik tedarik zinciri saldırısının Kuzey Koreli bilgisayar korsanları tarafından yapıldığını duyurdu. Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı, 19 Haziran'da yaptığı açıklamada, saldırının yüksek güvenle Sapphire Sleet adlı Kuzey Koreli devlet destekli bir aktöre atfedildiğini belirtti. Bu grup daha önce öncelikle finans sektörünü hedef alıyordu.
Saldırı, Mastra kapsamındaki npm kayıt defterindeki 140'tan fazla paketi etkiledi. Sapphire Sleet, bir npm bakıcı hesabını ele geçirerek yayınlama yetkilerini kötüye kullandı ve Mastra koduna 'easy-day-js' adlı kötü amaçlı bir bağımlılık enjekte etti. Bu zehirli paket, TLS sertifika doğrulamasını devre dışı bırakarak saldırganların kontrolündeki bir C2 sunucusuna bağlandı ve Windows, macOS ve Linux sistemlerinde çalışabilen bir kötü amaçlı yazılım yükledi.
Kötü amaçlı yazılım, 166 farklı kripto para cüzdanı tarayıcı eklentisini hedef aldı. MetaMask, Phantom, Coinbase Cüzdanı, Binance Cüzdanı ve TronLink gibi popüler cüzdanları tarayan yazılım, bu cüzdanlardan çalmayı amaçlıyordu. Ayrıca tarayıcı geçmişini toplama, enfekte cihazda keşif yapma (hostname, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler gibi bilgileri toplama) yeteneklerine sahipti.
Uzmanların Görüşleri
Microsoft, Sapphire Sleet'in geçmişte LinkedIn üzerinden sosyal mühendislik saldırıları düzenlediğini ve finans, blockchain ve kripto para sektörlerindeki kurbanları hedef aldığını belirtti. Şirket, bu tür saldırılara karşı korunmak için güvenlik önlemlerinin artırılmasını ve şüpheli paketlerin kontrol edilmesini öneriyor. Kuzey Koreli hackerların bu yeni kampanyası, tedarik zinciri saldırılarının ne kadar ciddi boyutlara ulaştığını bir kez daha gözler önüne seriyor.