![Rogue npm Paketi Yeni Tedarik Zinciri Saldırısında Açık Kaynak Rootkit Kullanıyor](https://kilalu.blog/news/2024-07-31-11:29/Rogue npm Paketi Yeni Tedarik Zinciri Saldırısında Açık Kaynak Rootkit Kullanıyor.jpg)
04 Eki 2023THNTedarik Zinciri / Kötü Amaçlı Yazılım
Npm paket kayıt defterinde gizlenmiş, açık kaynaklı bir rootkit dağıtan yeni bir aldatıcı paket ortaya çıkarıldı. r77Bu, ilk kez hileli bir paketin rootkit işlevselliği sağladığı anlamına geliyor.
Söz konusu paket düğüm-gizleme-konsol-pencerelerimeşru npm paketini taklit eden düğüm-gizleme-konsol-pencere yazım hatası kampanyasının bir örneği. Oldu 704 kez indirildi kaldırılmadan önce son iki ay içinde.
ReversingLabs, ilk tespit edildi Ağustos 2023’teki faaliyette, paketin “açık kaynaklı bir rootkit olan r77’nin yerleştirilmesini kolaylaştıran bir Discord botu indirdiği” belirtildi ve şunu ekledi: “açık kaynaklı projelerin giderek kötü amaçlı yazılım dağıtmak için bir yol olarak görülebileceğini öne sürüyor.” “
Yazılım tedarik zinciri güvenlik firmasına göre kötü amaçlı kod, paketin index.js dosyasında yer alıyor ve yürütüldüğünde otomatik olarak çalıştırılan bir yürütülebilir dosyayı getiriyor.
Söz konusu yürütülebilir dosya, C# tabanlı açık kaynaklı bir truva atıdır. DiscordRAT 2.0Güvenlik yazılımını devre dışı bırakırken, hassas verilerin toplanmasını kolaylaştıran 40’tan fazla komutu kullanarak kurban bir ana makineyi Discord üzerinden uzaktan kontrol etme özellikleriyle birlikte gelir.
Talimatlardan biri, uygulamayı başlatmak için kullanılan “!rootkit”tir. r77 rootkit’i güvenliği ihlal edilmiş sistem hakkında. r77, aktif olarak bakımı yapılıyor bayt kodu77dosyaları ve işlemleri gizlemek için tasarlanmış ve diğer yazılımlarla birlikte paketlenebilen veya doğrudan başlatılabilen bir “dosyasız ring 3 rootkit’tir”.
Bu, r77’nin vahşi doğada kötü niyetli kampanyalarda kullanıldığı ilk sefer değil; tehdit aktörleri onu SeroXen truva atını ve kripto para birimi madencilerini dağıtan saldırı zincirlerinin bir parçası olarak kullanıyor.
Dahası, node-hide-console-windows’un iki farklı versiyonunun, adlı açık kaynaklı bir bilgi hırsızını getirdiği bulundu. Boş Yakalayıcı DiscordRAT 2.0’ın yanı sıra bunu “görsel kod güncellemesi” olarak maskeliyor.
Kampanyanın dikkate değer bir yönü, tamamen ücretsiz ve halka açık olarak çevrimiçi olarak erişilebilen bileşenlerin temelleri üzerine inşa edilmiş olması, tehdit aktörlerinin hepsini bir araya getirmesi için çok az çaba gerektirmesi ve “tedarik zinciri saldırı kapısının artık düşük risklilere açık olmasıdır” aktörler.”
Araştırma bulguları, geliştiricilerin açık kaynak kodlu depolardan paketler yüklerken dikkatli olmaları gerektiğinin altını çiziyor. Bu haftanın başlarında Fortinet FortiGuard Laboratuvarları, veri toplama özellikleriyle donatılmış, kodlama stili ve yürütme yöntemlerinde farklılıklara sahip yaklaşık üç düzine modül tespit etti.
Güvenlik araştırmacısı Lucija Valentić, “Kötü niyetli aktör veya aktörler, paketlerinin güvenilir görünmesini sağlamak için çaba harcadı” dedi.
“Bu kampanyanın arkasındaki aktör veya aktörler, yazım hatası yapılan meşru paketin sayfasına çok benzeyen bir npm sayfası oluşturdu ve hatta taklit ettikleri paketi yansıtmak için kötü amaçlı paketin 10 versiyonunu oluşturdu.”
Popular Articles
- 13 Aug Lyft, markete ucuz ulaşım sağlayacak
- 19 Jul 2000lerde Makyaj Yapmaya Dair O Dönemi Yaşamış Herkesin Çok İyi Bildiği 18 Tuhaflık
- 03 Aug 17 Ekim Yengeç Burcu Günlük Burç Yorumu
- 25 Jul Mağdurun Değil, Eşinin Görüntülerini Arkadaşıyla Paylaşan Erkeğin Yüzünü Blurlayan DHA Tepkilerin Odağında
- 26 Jul Elon Musk, Platform Video İçeriğine Odaklanmayı Planlarken Akıllı TV’ler için Twitter Video Uygulamasının “Geleceğini” Söyledi
Latest Articles
- 05 Aug Minecraft mod YouTuber, bir örs tarafından vurulmanızda ısrar ediyor
- 19 Aug Kripto varlık tabanlı kredi girişimi BlockFi, 50 milyon dolar yatırım aldı
- 19 Jul Yemeksepeti, 19. yılında yüzde 50’nin üzerinde büyüdü
- 12 Aug Tokat’ta Sulama Projeleri Onaylandı: Sözleşme Süreci Başladı
- 16 Aug Beşiktaş’ta Bocelli gecesi