JavaScript ekosisteminin en yaygın kullanılan yapı araçlarından birini taklit eden kötü niyetli bir npm paketi tespit edildi. JFrog'un analizine göre, 'postcss-minify-selector-parser' adlı sahte paket, haftada 150 milyondan fazla indirilen popüler postcss-selector-parser kütüphanesinin adını kullanarak geliştiricileri hedef alıyor. Paket, tedarik zinciri saldırısıyla Windows uzaktan erişim truva atı (RAT) yüklemek için tasarlanmış. Yazının yazıldığı sırada paket hala npm kaydında mevcuttu.
Sahte paket, hızlı bir bağımlılık incelemesinde gerçek paketle karıştırılabilecek kadar benzer bir isim taşıyor. Aynı 'postcss', 'selector' ve 'parser' anahtar kelimelerini kullanıyor ve gerçek postcss-selector-parser'ı bağımlılıkları arasında listeliyor. JFrog, aynı kümede 'postcss-minify-selector' ve 'aes-decode-runner-pro' adlı iki paket daha buldu. Bu paketler 'abdrizak' yayıncısına ait ve şifresi çözülen yükler aynı Windows saldırı zincirini işaret ediyor.
Kötü niyetli kod, paket içe aktarılır aktarılmaz çalışıyor. JFrog, içe aktarma işleminin, ayrıştırıcı mantığı içermesi gereken bir dosyayı çektiğini, ancak dosyanın büyük bir şifrelenmiş yığın ve AES-256-GCM kod çözücü taşıdığını tespit etti. Kod çözüldüğünde, bir PowerShell betiğini diske yazıp çalıştıran bir bırakıcı (dropper) görevi görüyor. PowerShell betiği, nvidiadriver[.]net alan adından bir yük indiriyor; bu yük, Windows yaması kılığına girmiş bir ZIP arşivi. Arşiv, bir Python çalışma zamanı ve Nuitka ile derlenmiş modüller içeriyor; bir VBScript başlatıcı bunları çalıştırarak RAT'ı etkinleştiriyor.
Teknik Analiz
RAT çalıştığında, şifreli HTTP üzerinden komut sunucusuna bağlanıyor ve kayıt defteri anahtarıyla kalıcılık sağlıyor. Ana makineyi profilleyip sanal makinede çalışıp çalışmadığını kontrol ediyor. JFrog, RAT'ın uzaktan kabuk açma, dosya taşıma ve tarayıcı oturum bilgilerini çalma yeteneklerine sahip olduğunu belirtiyor. Özellikle Google Chrome'u hedef alarak kayıtlı şifreleri çalıyor ve yeni uygulama bağlamalı şifrelemeyi aşabiliyor. JFrog, geliştiricilere bu paketleri kaldırmalarını, geçici klasör ve kayıt defteri izlerini kontrol etmelerini ve ardından kayıtlı kimlik bilgilerini değiştirmelerini öneriyor. 'Savunmacılar için önemli ders, benzer görünen yapı bağımlılıklarını zararsız isim karmaşası değil, potansiyel teslimat mekanizmaları olarak ele almaktır' uyarısında bulunuyor.