Microsoft, Mastra AI Tedarik Zinciri Saldırısının Arkasında Kuzey Kore'nin Olduğunu Açıkladı Dünya Geneli

Microsoft, Mastra AI Tedarik Zinciri Saldırısının Arkasında Kuzey Kore'nin Olduğunu Açıkladı

Microsoft, Mastra AI adlı açık kaynak yazılıma yönelik tedarik zinciri saldırısını Kuzey Koreli Sapphire Sleet grubuna bağladı. Saldırı, npm paketleri

Microsoft, Mastra AI adlı açık kaynaklı TypeScript yazılımını hedef alan bir tedarik zinciri saldırısının Kuzey Koreli bilgisayar korsanları tarafından gerçekleştirildiğini duyurdu. Mastra, yapay zeka destekli uygulamalar ve ajanlar oluşturmak için kullanılan popüler bir kütüphane. Saldırı, Microsoft Defender Güvenlik Araştırma Ekibi ve Microsoft Tehdit İstihbaratı tarafından 19 Haziran'da tespit edildi. Teknoloji devi, bu faaliyetin yüksek güvenle Sapphire Sleet grubuna ait olduğunu belirtti. Sapphire Sleet, Kuzey Kore devlet destekli bir aktör olup genellikle finans sektörünü hedef alıyor.

Microsoft, Mastra kampanyasında kullanılan altyapı ve saldırı sonrası TTP'lerin (Taktikler, Teknikler ve Prosedürler) daha önce belgelenen Sapphire Sleet faaliyetleriyle tutarlı olduğunu gözlemledi. Sapphire Sleet, Microsoft tarafından kullanılan isim. Diğer tehdit istihbarat araştırmacıları bu Kuzey Koreli hack grubunu APT38, BlueNoroff, Stardust Chollima ve TA444 olarak da takip ediyor. Saldırı, dünyanın en büyük açık kaynak JavaScript kod paylaşım veritabanı olan npm kayıt defterinde Mastra kapsamındaki 140'tan fazla paketi etkiledi. Microsoft, Sapphire Sleet'in "büyük ölçekli npm tedarik zinciri saldırısı" olarak nitelendirdiği bu operasyonla geliştiricileri hedef aldığını belirtti.

Saldırının kaynağı, bir npm bakıcı hesabının ele geçirilmesiydi. Bu hesabın yayınlama ayrıcalıkları kötüye kullanılarak Mastra kodunun zehirli sürümleri yayınlandı. Zehirli sürümlere, easy-day-js adlı kötü amaçlı bir bağımlılık eklendi. Bu zehirli örnek, Transport Layer Security (TLS) sertifika doğrulamasını devre dışı bırakarak saldırgan kontrolündeki bir komuta ve kontrol (C2) sunucusuna bağlandı. Ardından, Windows, macOS ve Linux sistemlerinde çalıştırılabilen bir kötü amaçlı yazılım yükü indirildi.

Önemli Gelişmeler

Saldırının iki ana hedefi vardı. İlk olarak, Kuzey Kore'ye atfedilen birçok siber saldırı gibi, bu kampanya da kripto para cüzdanlarını hedef aldı. Kötü amaçlı yazılım, MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink ve diğerleri dahil olmak üzere 166 kripto para cüzdanı tarayıcı uzantısı kimliğini taradı ve bunlardan çalmayı amaçladı. İkinci olarak, kötü amaçlı yazılım tarayıcı geçmişi hakkında bilgi toplayabilir, enfekte makinede keşif yapabilir, ana bilgisayar adı, mimari, platform, kullanıcı kimliği, yüklü uygulamalar ve çalışan işlemler hakkında bilgi toplayabilir.

Microsoft, ayrıcalıklı hesapların nasıl ele geçirildiğine dair ayrıntılı bilgi vermedi ancak blog yazısında Sapphire Sleet'in finans, blokzincir ve kripto para sektörlerindeki hedeflere karşı LinkedIn üzerinden sosyal mühendislik saldırıları düzenleme geçmişine sahip olduğunu belirtti. Bu tür saldırılar genellikle sahte iş teklifleri veya bağlantı talepleri yoluyla gerçekleştiriliyor. Geliştiricilerin bu tür saldırılara karşı dikkatli olması ve güvenilir olmayan kaynaklardan gelen bağlantılara tıklamaması önem taşıyor.

Bu kampanyaya karşı korunmak için Microsoft şu tavsiyelerde bulundu: Geliştiriciler, npm paketlerini yüklemeden önce kaynağını doğrulamalı ve yalnızca güvenilir bakıcılar tarafından yayınlanan paketleri kullanmalıdır. Ayrıca, iki faktörlü kimlik doğrulama (2FA) kullanarak npm hesaplarını korumalı ve şüpheli etkinlikleri izlemelidir. Kuruluşlar, tedarik zinciri güvenliğini artırmak için yazılım kompozisyon analizi (SCA) araçları kullanmalı ve bağımlılık taramaları yapmalıdır. Son olarak, çalışanların sosyal mühendislik saldırılarına karşı farkındalığını artırmak için düzenli eğitimler düzenlenmelidir.

Kaynak: infosecurity-magazine.com

Paylaş: