Sahte npm Paketi, Windows RAT ile Geliştirici Bilgisayarlarını Hedef Alıyor Linux

Sahte npm Paketi, Windows RAT ile Geliştirici Bilgisayarlarını Hedef Alıyor

Sahte npm paketi postcss-minify-selector-parser, popüler postcss-selector-parser'ı taklit ederek Windows RAT yükler. JFrog analizi ve korunma öneriler

JavaScript ekosisteminin en yaygın kullanılan derleme araçlarından birini taklit eden kötü niyetli bir npm paketi keşfedildi. JFrog'un yeni analizine göre, postcss-minify-selector-parser adlı sahte paket, geliştirici makinelerinde çok aşamalı bir Windows uzaktan erişim truva atı (RAT) gizliyor. Paket, haftada 150 milyondan fazla indirilen popüler postcss-selector-parser kütüphanesini taklit ediyor. Yazı anında sahte paket hâlâ npm kaydında mevcuttu.

JFrog, paket adının gerçek pakete yeterince yakın olduğu için hızlı bir bağımlılık incelemesinde makul göründüğünü belirtti. Aynı postcss, selector ve parser anahtar kelimelerini kullanıyor ve gerçek postcss-selector-parser'ı kendi bağımlılıkları arasında listeliyordu. Araştırmacılar, aynı kümeye ait postcss-minify-selector ve aes-decode-runner-pro adlı iki paket daha buldu. Bunlar abdrizak adlı bir yayıncıya ait. İki paketten çözülen yükler aynı Windows saldırı zincirine işaret ediyor.

Kötü amaçlı kod, paket içe aktarılır aktarılmaz çalıştı. JFrog, içe aktarma işleminin ayrıştırıcı mantığı içermesi gereken bir dosyayı çektiğini, ancak dosyanın büyük bir şifreli blob ve AES-256-GCM kod çözücü taşıdığını buldu. Kod çözüldüğünde, bir PowerShell betiğini diske yazıp çalıştıran bir dropper görevi gördü. Betik, nvidiadriver[.]net alan adından bir yük indirdi. ZIP arşivi, bir Windows yaması kılığına girmişti ve temp klasörüne açılıyordu. Arşiv, bir Python çalışma zamanı ve Nuitka ile derlenmiş modüller içeriyordu. Bir VBScript başlatıcı, RAT'ı başlatmak için bunları çalıştırdı.

Çalıştıktan sonra RAT, şifreli HTTP üzerinden komut sunucusuyla iletişim kurdu. Kayıt defteri çalıştırma anahtarı ile kalıcılık sağladı. Ayrıca ana bilgisayarı profillendirdi ve sanal makinede çalışıp çalışmadığını kontrol etti. JFrog, RAT'ın uzaktan shell açabildiğini, dosyaları taşıyabildiğini ve tarayıcı oturumlarını çalabildiğini belirtti. Kötü amaçlı yazılım, özellikle Google Chrome'u hedef alarak kaydedilmiş oturumları çalmak ve tarayıcının yeni uygulama bağlantılı şifrelemesini aşmak üzere tasarlanmıştı. JFrog, paketleri yükleyenlerin bunları kaldırmasını, temp klasörü ve kayıt defteri izlerini kontrol etmesini ve ardından kaydedilmiş kimlik bilgilerini değiştirmesini önerdi. JFrog, bu kümeyi bir paket taklit saldırısı olarak tanımladı: 'Savunmacılar için önemli ders, taklit derleme bağımlılıklarını potansiyel teslimat mekanizmaları olarak görmek, sadece zararsız adlandırma gürültüsü olarak değil.'

Paylaş: