npm'de Sahte PostCSS Paketi: Çok Aşamalı Windows RAT Tehdidi Yazılım

npm'de Sahte PostCSS Paketi: Çok Aşamalı Windows RAT Tehdidi

npm'de popüler bir build aracını taklit eden kötü niyetli paket, geliştirici makinelerine çok aşamalı bir Windows RAT bulaştırıyor.

JavaScript ekosisteminde yaygın olarak kullanılan bir build aracını taklit eden kötü niyetli bir npm paketi tespit edildi. JFrog araştırmacılarının analizine göre, postcss-minify-selector-parser adlı sahte paket, popüler postcss-selector-parser kütüphanesinin adını kullanarak geliştiricileri hedef alıyor. Gerçek paket haftada 150 milyondan fazla indirilirken, sahte paket tedarik zinciri saldırısıyla Windows uzaktan erişim truva atı (RAT) yüklüyor.

Sahte paket, isim benzerliği sayesinde hızlı bağımlılık incelemelerinde gerçek gibi görünüyor. Aynı anahtar kelimeleri (postcss, selector, parser) kullanıyor ve hatta gerçek paketi bağımlılıkları arasında listeliyor. JFrog, aynı kümede postcss-minify-selector ve aes-decode-runner-pro adlı iki paket daha keşfetti. Tüm paketler abdrizak adlı bir yayıncıya ait ve çözülen yükler aynı Windows saldırı zincirini kullanıyor.

Kötü niyetli kod, paket projeye dahil edilir edilmez çalışıyor. İçe aktarılan dosya, aslında büyük bir şifrelenmiş blok ve AES-256-GCM çözücü içeriyor. Çözülen dosya, bir PowerShell betiğini diske yazıp çalıştıran bir dropper görevi görüyor. PowerShell betiği, nvidiadriver[.]net adresinden Windows güncellemesi kılığında bir ZIP arşivi indiriyor. Arşivde paketlenmiş bir Python çalışma zamanı ve Nuitka ile derlenmiş modüller bulunuyor. Bir VBScript başlatıcı, RAT'ı başlatmak için bu modülleri kullanıyor.

Detaylar ve Etkileri

RAT, şifreli HTTP üzerinden komut sunucusuna bağlanıyor ve kayıt defterine run anahtarı ekleyerek kalıcılık sağlıyor. Ayrıca sistemin sanal makinede çalışıp çalışmadığını kontrol ediyor. Uzaktan kabuk açma, dosya aktarımı ve veri çalma yeteneklerine sahip olan RAT, özellikle Google Chrome'dan kayıtlı şifreleri çalmak için tasarlanmış. Tarayıcının yeni uygulama bağlı şifrelemesini aşabilecek şekilde yapılandırılmış.

JFrog, bu saldırıyı paket kimlik avı olarak nitelendiriyor ve geliştiricilere, sahte bağımlılıkları sadece isim benzerliği olarak görmemeleri gerektiğini vurguluyor. Paketi yükleyenlerin derhal kaldırması, geçici klasör ve kayıt defteri izlerini kontrol etmesi ve ardından depolanmış kimlik bilgilerini döndürmesi öneriliyor.

Gelecekte Ne Bekleniyor?

Bu saldırı, tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Geliştiricilerin, bağımlılık eklerken paket adlarını dikkatlice kontrol etmeleri, güvenilir kaynaklardan indirme yapmaları ve düzenli güvenlik taramaları gerçekleştirmeleri hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: