Microsoft'un siber güvenlik araştırmacıları, açık kaynaklı Mastra AI kütüphanesini hedef alan tedarik zinciri saldırısının Kuzey Koreli bilgisayar korsanları tarafından gerçekleştirildiğini tespit etti. 19 Haziran'da Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından yapılan açıklamada, saldırının Sapphire Sleet adlı Kuzey Koreli devlet destekli bir grup tarafından düzenlendiği belirtildi. Bu grup daha önce finans sektörünü hedef alan saldırılarıyla biliniyor.
Microsoft, Mastra kampanyasında kullanılan altyapı ve saldırı sonrası taktik, teknik ve prosedürlerin (TTP'ler) Sapphire Sleet'in önceki faaliyetleriyle uyumlu olduğunu gözlemledi. Sapphire Sleet, Microsoft tarafından verilen bir isim olup, diğer tehdit istihbarat kuruluşları bu grubu APT38, BlueNoroff, Stardust Chollima ve TA444 olarak da takip ediyor. Grup özellikle finans, blockchain ve kripto para sektörlerine odaklanıyor.
Saldırı, dünyanın en büyük açık kaynaklı JavaScript kod paylaşım veritabanı olan npm kayıt defterinde Mastra kapsamındaki 140'tan fazla paketi etkiledi. Microsoft'a göre bu, Sapphire Sleet'in 'büyük ölçekli bir npm tedarik zinciri saldırısı' idi. Saldırganların amacı, geliştiricileri tehlikeye atmaktı. Güvenlik ihlalinin kaynağı, bir npm bakıcı hesabının ele geçirilmesiydi. Bu hesabın yayınlama ayrıcalıkları kötüye kullanılarak, Mastra kodunun zehirli sürümleri 'easy-day-js' adlı kötü amaçlı bir bağımlılıkla yayımlandı.
Detaylar ve Etkileri
Zehirli sürüm, Transport Layer Security (TLS) sertifika doğrulamasını devre dışı bırakarak saldırgan kontrolündeki bir komuta ve kontrol (C2) sunucusuyla iletişim kurdu. Bu sunucu daha sonra Windows, MacOS ve Linux sistemlerinde çalıştırılabilen bir kötü amaçlı yazılım yükledi. Saldırının iki ana hedefi vardı: İlk olarak, birçok Kuzey Kore siber saldırısında olduğu gibi, kripto para cüzdanlarını hedef aldı. Kötü amaçlı yazılım, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink ve diğerleri dahil olmak üzere 166 kripto para cüzdanı tarayıcı eklentisi kimliğini arayarak bunlardan çalmayı amaçladı.
Kötü amaçlı yazılım ayrıca tarayıcı geçmişi hakkında bilgi toplayabiliyor ve enfekte makinede keşif yaparak ana bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler hakkında bilgi toplayabiliyordu. Microsoft, ayrıcalıklı hesapların nasıl ele geçirildiğine dair ayrıntı vermedi ancak blog yazısında Sapphire Sleet'in finans, blockchain ve kripto para sektörlerindeki kurbanlara karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenleme geçmişine sahip olduğunu belirtti.
Nasıl Önlem Alınmalı?
Microsoft, bu kampanyaya karşı korunmak için geliştiricilere şu önerilerde bulundu: npm paketlerini yüklemeden önce kaynaklarını doğrulayın, güvenilir olmayan kaynaklardan gelen bağımlılıkları kullanmaktan kaçının, iki faktörlü kimlik doğrulamayı etkinleştirin ve ağ trafiğini şüpheli etkinlikler açısından izleyin. Ayrıca, geliştiricilerin kullandıkları kütüphanelerin güncel olduğundan ve bilinen güvenlik açıklarının bulunmadığından emin olmaları gerekiyor.
Kaynak: infosecurity-magazine.com