Ortaya Çıkarılan 10 Zararlı NPM Paketi: Bir Uyarı Niteliğinde Software Supply Chain Security

Milyonlarca paket arasında gizlenmiş tek bir güvenlik açığı, tek bir kötü amaçlı paket, sayısız uygulamanın güvenliğini tehlikeye atabilir ve hem iş operasyonlarını hem de kullanıcı gizliliğini riske sokabilir. Xygeni ekibimiz, bu kırılgan ortamda bir güvenlik operasyonuna girişerek, birçok kişinin korktuğu ancak az kişinin doğrulayabildiği çarpıcı bir gerçeği ortaya çıkardı: Dijital ekosistemimizin temelinde kötü amaçlı NPM paketlerinin varlığı.

13-15 Ocak 2024 tarihleri ​​arasında, tescilli Kötü Amaçlı Kod Tespit taramamız, normal görünümün perdesini aralayarak, tek değil, on sinsi NPM paketini ortaya çıkardı. Bunlar rastgele kötü amaçlı eylemler değil, her biri hassas verileri internetin karanlık köşelerine sızdırmak için tasarlanmış kampanyalardı. Bu keşif sadece bir uyarı değil; yazılım geliştirme sürecindeki her paydaş için bir eylem çağrısıdır.

Siber güvenlik alanında öncü bir şirket olarak Xygeni'nin benzersiz bakış açısı, bu tehditleri yalnızca tespit etmemizi değil, aynı zamanda bunların sonuçlarını derinlemesine anlamamızı da sağlıyor. Bu rapor, bunun bir kanıtıdır. commitDijital dünyanın güvenliğini sağlamaya yönelik bir girişim olarak, gelecekteki saldırılarda ele geçirilmesini önlemek amacıyla kodlardaki kötü amaçlı kanıtları tespit etmek hedeflenmektedir.

Gelin, bu kampanyaların inceliklerine inelim, saldırganların yöntemlerini ortaya çıkaralım ve en önemlisi, işletmelerin bu tür sinsi tehditlere karşı savunmalarını nasıl güçlendirebileceklerine ışık tutalım.

İlk Keşif: Aurora Webmail Pro Veri İhlali

Araştırmamızdaki ilk keşif, adı geçen paket oldu. aurora-webmail-proBu dosya, takma adı olan bir kullanıcı tarafından NPM kayıt defterine yüklendi. 0x379cBu keşfi kısa süre sonra, kayıt defterinin güvenlik önlemleriyle faaliyetleri durdurulmadan önce aynı yazar tarafından yüklenen dört ek paketin daha tespiti izledi.

Bu paketler şunları içeriyordu: blog_2021@1.1.1, heatwallet@10.1.1, yeni rezervasyon@1.1.1, ve pecko@1.0.1İnceleme sonucunda, her paketin hassas kullanıcı bilgilerini sızdırmayı amaçlayan, çarpıcı derecede benzer kötü amaçlı kodlar içerdiği tespit edildi.

NPM Paketleri

Program, kullanıcı ve sistemle ilgili hassas sistem bilgilerini kurtarır ve bu verilerle bir hexdump oluşturur. Ardından veriler üzerinde yineleme yapılır ve her bir parça için harici bir siteye GET isteği gönderilir; erişilen yol, oluşturulan parçaların her biridir.

İkincil Ortaya Çıkarma: Kötü Amaçlı Kod Yayılımında Çeşitli Taktikler

İlk paketin keşfiyle eş zamanlı olarak, araştırmamız kayıt defterine üç farklı kullanıcı tarafından dağıtılan dört ek NPM paketini daha ortaya çıkardı. 

Listelenen bu paketler şunlardır: anyone-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2, ve synology-cft@10.0.0Kod tabanlarında ortak bir nokta vardı: her biri kullanıcı bilgilerini ele geçirmek üzere tasarlanmıştı. Dikkat çekici olan, bu örneklerde veri sızdırma için kullanılan yöntemin ilk gruptan farklı olmasıydı; bu da ayrı, ancak aynı derecede kötü niyetli bir kampanyaya işaret ediyordu.

İkincil Ortaya Çıkarma: Kötü Amaçlı Kod Yayılımında Çeşitli Taktikler

Bu ikinci kampanyanın stratejisi, hassas verileri toplamak için daha doğrudan bir yaklaşım içeriyordu. Etkinleştirildiğinde, bu paketlerin içindeki kötü amaçlı kod, kullanıcının sistem yapılandırması, kişisel kullanıcı verileri ve özellikle sistemin IP adresi hakkında ayrıntılı bilgiler çıkararak kapsamlı bir keşif görevine girişiyordu. Bu kapsamlı veri toplama, kurban hakkında eksiksiz bir dosya oluşturmayı ve potansiyel olarak daha derin sızmalar veya hedefli saldırılar için zemin hazırlamayı amaçlıyordu.

Şunu vurgulamak çok önemlidir ki, bu paketlerin meşru güvenlik araştırması faaliyetlerinin bir parçası gibi görünme potansiyeli olsa da (örneğin, Bağımlılık Karmaşası taktikleri yoluyla güvenlik açıklarını ortaya çıkarmayı amaçlayanlar gibi), gerçek değişmeden kalmaktadır. Bu paketler kötü niyetle tasarlanmış olabilir ve hassas verileri gizlice toplayıp yetkisiz dış kuruluşlara iletebilirler.

Özel Uyarı: djs13-fetcher Anomalisi ve Siber Güvenlik Açısından Etkileri

Bahsi geçen paketlerin incelenmesi sırasında, platformumuz ek bir anormallik daha tespit etti: adı geçen bir paket. djs13-fetcherBu özel keşif, yalnızca çalışma yöntemi açısından değil, aynı zamanda oluşturduğu tehdidin niteliği açısından da önceki örneklerden farklılık göstermektedir. djs13-fetcher Discord'dan bir eklentinin, özellikle de adlı ikili bir dosyanın indirilmesi ve yürütülmesi için bir dizi işlemi başlattığı tespit edildi. astroia.exeOtomatik analiz hizmetiyle daha yakından incelendiğinde, bu ikili dosya şu puanı aldı: Tehdit Puanı 100 üzerinden 85Bu, onu açıkça kötü amaçlı yazılım olarak sınıflandıran bir derecelendirmedir.

Özel Uyarı: djs13-fetcher Anomalisi ve Siber Güvenlik Açısından Etkileri

djs13-fetcher'ın çalışması ve ardından astroia.exe'nin yürütülmesi, karmaşık ve çok yönlü bir tehdit vektörünün altını çizmektedir. Söz konusu ikili dosya, derinlere kök salmış kötü niyetli bir amacı gösteren bir dizi eylem gerçekleştirmek üzere tasarlanmıştır:

  • Yumurta Üretme Sistemi SüreçleriKötü amaçlı yazılım, çalıştırıldığında birden fazla sistem sürecini başlatır; bu teknik genellikle daha fazla kötü amaçlı komut dosyası çalıştırmak veya ek zararlı yazılımlar için enfekte sistemde bir dayanak noktası oluşturmak için kullanılır.
  • Sistem Bilgilerini SorgulamaSistem bilgilerine yönelik kapsamlı sorgulamalar gerçekleştirir. Bu işlem genellikle sistem ortamı hakkında istihbarat toplama amacını taşır; bu istihbarat, daha sonraki saldırıları sistemin belirli güvenlik açıklarına göre uyarlamak için kullanılabilir.
  • Kaçınma Manevraları GerçekleştirmeBelki de en dikkat çekici özelliği, astroia.exe'nin bir sanal makine (VM) içinde çalışıp çalışmadığını tespit etmek için Windows Yönetim Araçları (WMI) sorguları yürütmek üzere tasarlanmış olmasıdır. Bu davranış, siber güvenlik uzmanları ve kötü amaçlı yazılım analizi için genellikle VM kullanan otomatik sistemler tarafından tespit edilmekten ve analiz edilmekten kaçınmayı amaçlayan açık bir kaçınma eylemidir.

Anahtar teslim paketler

Bu 10 zararlı NPM paketinin keşfi, djs13-fetcher'ın özel durumuyla birlikte, yazılım tedarik zincirlerimizi korumada uyanık olmanın ve proaktif önlemler almanın kritik önemini vurgulamaktadır. 

Bu gerçeklik, Xygeni'nin Erken Uyarı Servisi'nin vazgeçilmez rolünü ön plana çıkarıyor. Yeni NPM paketlerindeki potansiyel tehditleri yayınlanır yayınlanmaz analiz etmek ve uyarıda bulunmak üzere tasarlanan hizmetimiz, proaktif siber güvenlik savunmalarında önemli bir ilerlemeyi temsil ediyor. Kötü amaçlılığın gösterge niteliğindeki sinyallerini, saldırılardan çok önce tespit ederek, standard Prosedürlerimiz sayesinde müşterilerimiz, yazılım ekosistemlerini potansiyel kötü amaçlı yazılım saldırılarına karşı, zarar vermeden önce koruyabiliyorlar.

Siber saldırganların kullandığı gelişmiş taktiklere karşı korunmak için kuruluşlar, düzenli kod denetimlerinden gelişmiş tespit araçlarına kadar sağlam güvenlik protokollerinin uygulanmasına öncelik vermelidir. Xygeni olarak biz, bu doğrultuda çalışmaya devam ediyoruz. commitBu süregelen mücadelede öncü rol üstlenmeye, ortaklarımızı ve daha geniş topluluğu bu sinsi tehditleri savuşturmak için gerekli bilgi ve araçlarla donatmaya kararlıyız.

Birlikte, güvenlik bilinci ve iş birliği kültürünü geliştirerek, savunmamızı güçlendirebilir ve dijital ekosistemlerimizin bütünlüğünü gelecek yıllar için güvence altına alabiliriz.

sca-tools-software-composition-analysis-tools
Yazılım risklerinizi önceliklendirin, giderin ve güvence altına alın.
Ücretsiz hesabınızı alın.
Hiçbir kredi kartı gerekmektedir.

Yazılım Geliştirme ve Teslimatınızı Güvence Altına Alın

Xygeni Ürün Paketi ile