Microsoft, Mastra AI Tedarik Zinciri Saldırısını Kuzey Kore'ye Bağladı Siber Güvenlik

Microsoft, Mastra AI Tedarik Zinciri Saldırısını Kuzey Kore'ye Bağladı

Siber güvenlik araştırmacıları, yapay zeka destekli uygulamalar ve aracılar oluşturmaya yönelik açık kaynaklı bir metin olan Mastra'yı hedef alan bir ...

Siber güvenlik araştırmacıları, yapay zeka destekli uygulamalar ve aracılar oluşturmaya yönelik açık kaynaklı bir metin olan Mastra'yı hedef alan bir tedarik zinciri saldırısının Kuzey Koreli bilgisayar korsanlarının işi olduğunu söyledi.

İlişkilendirme, 19 Haziran'da Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından yapıldı.

Teknoloji devi, faaliyetin öncelikli olarak finans sektörünü hedef alan Kuzey Koreli bir devlet aktörü olan Sapphire Sleet'e atfedilebileceğini "yüksek güvenle" değerlendirdi.

Teknik Analiz

Microsoft bu ilişkilendirmeyi, Mastra kampanyasında kullanılan altyapı ve uzlaşma sonrası TTP'lerin daha önce belgelenen Sapphire Sleet etkinliğiyle tutarlı olduğunu gözlemledikten sonra yaptı.

Sapphire Sleet, Microsoft tarafından gruba verilen isimdir. Diğer tehdit istihbaratı araştırmacıları, Kuzey Koreli bilgisayar korsanlığı grubunu APT38, BlueNoroff, Stardust Chollima ve TA444 olarak takip ediyor.

Microsoft'a göre, dünyanın en büyük açık kaynaklı JavaScript kod paylaşımı veritabanı olan npm kayıt defterindeki Mastra kapsamlarındaki 140'tan fazla paket, Sapphie Sleet'in "büyük ölçekli npm tedarik zinciri saldırısından" etkilendi. Saldırganların amacı bunu hedef alarak geliştiricilerin güvenliğini tehlikeye atmaktı.

Uzlaşmanın kaynağı, kötü niyetli bir bağımlılık olan easy-day-js ile zehirli Mastra kodunun örneklerini yayınlamak için yayınlama ayrıcalıklarını kötüye kullanan bir npm bakımcı hesabının ele geçirilmesiydi.

Gelecekte Ne Bekleniyor?

Devamını oku: Microsoft, Yapay Zekanın Benimsenmesinin Saldırganlara Kötü Amaçlı Yazılım Dağıtması İçin Yeni Fırsatlar Yarattığı Uyarısında Bulundu

Bu zehirli örnek, Aktarım Katmanı Güvenliği (TLS) sertifika doğrulamasını devre dışı bırakmak, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak ve ardından Windows, MacOS ve Linux sistemlerine dağıtılabilecek bir kötü amaçlı yazılım yükü sağlamak için kullanıldı.

Detaylar ve Etkileri

Bunun amacı iki yönlüydü. İlk olarak, Kuzey Kore'ye atfedilen birçok siber saldırı gibi, kampanya da kripto para cüzdanlarını hedef aldı. Kötü amaçlı yazılım, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink ve diğerleri de dahil olmak üzere 166 kripto para cüzdanı tarayıcı uzantısı kimliğinin varlığını, bunlardan çalmak amacıyla araştırdı.

Uzmanların Görüşleri

Kötü amaçlı yazılım ayrıca tarayıcı geçmişi hakkında bilgi toplayabilir, virüslü makinede keşif gerçekleştirerek ana bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler hakkında bilgi toplayabilir.

Önemli Gelişmeler

Microsoft, ayrıcalıklı hesapların zehirli paketlere nasıl devredildiğini ayrıntılı olarak açıklamadı ancak blog yazısında Sapphire Sleet'in, LinkedIn'i finans, blockchain ve kripto para sektörlerindeki kurbanlara karşı kullanan bir sosyal mühendislik saldırıları geçmişine sahip olduğu belirtildi.

Bu kampanyaya karşı korunmaya yardımcı olmak için Microsoft aşağıdaki tavsiyeyi yayınladı:

Paylaş: