JavaScript ekosisteminin en yaygın kullanılan derleme araçlarından birini taklit eden kötü niyetli bir npm paketi keşfedildi. JFrog'un analizine göre, postcss-minify-selector-parser adlı sahte paket, haftada 150 milyondan fazla indirilen popüler postcss-selector-parser kütüphanesini taklit ederek geliştirici makinelerine çok aşamalı bir Windows uzaktan erişim truva atısı (RAT) bulaştırıyor. Saldırı, yazılım tedarik zincirini hedef alıyor.
Sahte paket, isim benzerliği sayesinde hızlı bir bağımlılık incelemesinde gerçek paket gibi görünebiliyor. Aynı postcss, selector ve parser anahtar kelimelerini kullanan paket, gerçek postcss-selector-parser'ı kendi bağımlılıkları arasında listeliyor. JFrog, aynı kümede postcss-minify-selector ve aes-decode-runner-pro adlı iki paket daha tespit etti. Bu paketler abdrizak kullanıcı adını kullanan bir yayıncıya ait ve ikisinin çözümlenen yükleri aynı Windows saldırı zincirine işaret ediyor.
Kötü niyetli kod, paket içe aktarılır aktarılmaz çalışıyor. İçe aktarma işlemi, ayrıştırıcı mantığı içermesi gereken bir dosyayı çağırıyor; ancak dosya büyük bir şifrelenmiş blok ve AES-256-GCM kod çözücü taşıyor. Çözüldüğünde, bir PowerShell betiğini diske yazıp çalıştıran bir bırakıcı (dropper) görevi görüyor. PowerShell betiği, nvidiadriver[.]net alan adından bir yük indiriyor. Windows yaması kılığındaki ZIP arşivi, geçici klasöre açılıyor ve içindeki Python çalışma zamanı ile Nuitka derlenmiş modüller bir VBScript ile başlatılarak RAT'ı devreye sokuyor.
Uzmanların Görüşleri
RAT, komut sunucusuna şifreli HTTP üzerinden bağlanıyor ve kayıt defterine kalıcılık ekliyor. Sanal makine algılama, uzaktan shell açma, dosya transferi ve veri sızdırma yeteneklerine sahip. Özellikle Google Chrome'u hedef alan RAT, tarayıcının yeni uygulama bağlı şifrelemesini aşarak kayıtlı giriş bilgilerini çalıyor. JFrog, paketleri kaldırmayı, geçici klasör ve kayıt defteri izlerini temizlemeyi ve tüm kayıtlı kimlik bilgilerini değiştirmeyi öneriyor.