![Npm Truva Atı UAC’yi Atlıyor, AnyDesk’i “Osuyumlu” Paketle Kuruyor](https://kilalu.blog/news/2024-07-29-21:43/Npm Truva Atı UAC’yi Atlıyor, AnyDesk’i “Osuyumlu” Paketle Kuruyor.jpg)
19 Ocak 2024Haber odasıYazılım Güvenliği / Casus Yazılım
Npm kayıt defterine yüklenen kötü amaçlı bir paketin, güvenliği ihlal edilmiş Windows makinelerine gelişmiş bir uzaktan erişim truva atı dağıttığı tespit edildi.
“adlı paket”işletim sistemi uyumlu9 Ocak 2024’te yayınlandı ve toplam ilgi gördü. 380 indirme indirilmeden önce.
işletim sistemi uyumlu dahil Yazılım tedarik zinciri güvenlik firması Phylum’a göre “birkaç tuhaf ikili dosya”; bunlar arasında tek bir yürütülebilir dosya, bir dinamik bağlantı kitaplığı (DLL) ve bir JavaScript dosyasının yanı sıra şifrelenmiş bir DAT dosyası da bulunuyor.
Bu JavaScript dosyası (“index.js”) bir “autorun.bat” toplu komut dosyasını çalıştırır, ancak bunu yalnızca hedef makinenin Microsoft Windows’ta çalışıp çalışmadığını belirlemek için bir uyumluluk kontrolü çalıştırdıktan sonra gerçekleştirir.
Platform Windows değilse, kullanıcıya betiğin Linux’ta veya tanınmayan bir işletim sisteminde çalıştığını belirten bir hata mesajı görüntüler ve onları “Windows Sunucu İşletim Sistemi” üzerinde çalıştırmaya teşvik eder.
Toplu komut dosyası, yönetici ayrıcalıklarına sahip olup olmadığını doğrular ve değilse, ” adlı meşru bir Microsoft Edge bileşenini çalıştırır.cookie_exporter.exe“bir PowerShell komutu aracılığıyla.
İkili dosyayı çalıştırmayı denemek, bir Kullanıcı Hesabı Denetimini tetikleyecektir (UAC) hedeften bunu yönetici kimlik bilgileriyle yürütmesini isteyen istem.
Tehdit aktörü bunu yaparken DLL arama sırası ele geçirme adı verilen teknikten yararlanarak DLL (“msedge.dll”) dosyasını çalıştırarak saldırının bir sonraki aşamasını gerçekleştirir.
Kitaplığın truva atı haline getirilmiş sürümü, DAT dosyasının (“msedge.dat”) şifresini çözmek ve “msedgedat.dll” adlı başka bir DLL başlatmak için tasarlanmıştır; bu DLL, daha sonra “kdark1″ adlı aktör tarafından kontrol edilen bir alanla bağlantılar kurar.[.]Bir ZIP arşivini almak için com”.
ZIP dosyası, AnyDesk uzak masaüstü yazılımının yanı sıra WebSockets aracılığıyla bir komut ve kontrol (C2) sunucusundan talimatlar alabilen ve ana bilgisayardan hassas bilgiler toplayabilen bir uzaktan erişim truva atı (“verify.dll”) ile birlikte gelir. .
Ayrıca “Güvenli Tercihler’e Chrome uzantılarını yükler, AnyDesk’i yapılandırır, ekranı gizler ve Windows’un kapatılmasını devre dışı bırakır, [and] Phylum, klavye ve fare olaylarını yakalıyor” dedi.
Kampanya kapsamında kullanılan tek npm modülü “osuyumlu” gibi görünse de bu gelişme, tehdit aktörlerinin tedarik zinciri saldırıları için giderek daha fazla açık kaynaklı yazılım (OSS) ekosistemlerini hedef aldığını bir kez daha işaret ediyor.
“İkili açıdan bakıldığında, verilerin şifresini çözme, iptal edilmiş bir sertifikayı imzalama için kullanma, uzak kaynaklardan diğer dosyaları çekme ve tüm süreç boyunca kendisini standart bir Windows güncelleme işlemi olarak gizlemeye çalışma süreci, normalde gördüklerimizle karşılaştırıldığında nispeten karmaşıktır. OSS ekosistemlerinde” dedi şirket.
Açıklama, bulut güvenlik şirketi Aqua’nın, en çok indirilen 50.000 npm paketinin %21,2’sinin kullanımdan kaldırıldığını ve kullanıcıları güvenlik risklerine maruz bıraktığını açıklamasının ardından geldi. Başka bir deyişle, kullanımdan kaldırılan paketler haftada tahmini 2,1 milyar kez indiriliyor.
Bu, paketlerle ilişkili arşivlenmiş ve silinmiş GitHub depolarının yanı sıra görünür bir depo, taahhüt geçmişi ve sorun takibi olmadan tutulanları da içerir.
Güvenlik araştırmacıları Ilay Goldman ve Yakir Kadkoda, “Bakımcılar güvenlik kusurlarını yamalar veya CVE atamalarıyla ele almak yerine, etkilenen paketleri kullanımdan kaldırmayı tercih ettiğinde bu durum kritik hale geliyor.” söz konusu.
“Bunu özellikle endişe verici kılan şey, zaman zaman bu bakımcıların paketi resmi olarak npm’de kullanımdan kaldırılmış olarak işaretlememesi ve potansiyel tehditlerden habersiz kalan kullanıcılar için bir güvenlik açığı bırakmasıdır.”
Popular Articles
- 05 Aug Şarjı su gibi içen bataryaların sonu geliyor: Yeni Apple çipleri batarya performansı
- 20 Jul BM İklim Zirvesi Birleşik Arap Emirlikleri’nde düzenleniyor
- 21 Jul Filipinlerde koronavirüsten ölenlerin sayısı 107ye çıktı
- 02 Aug İşgalden kurtuluşu zirvede kutladılar (Yeniden) - Son Dakika Haberler
- 12 Jul Nijerde Boko Haram saldırıları: 14 ölü - Son Dakika Haberler
Latest Articles
- 27 Jul Argela, Netsia MAC ürün ailesini MWC Americas zirvesinde tanıttı
- 11 Jul Polimer Kablo Teknolojisi Fiber Optik Hızlarıyla Yarışıyor
- 22 Jul Cyberpunk 2077’den Yine Falso: Oyunu Düzeltecek Güncelleme ve Ek İçerikler Yine Ertelendi
- 27 Jul Dünyanın En İyi 5 Üniversitesinden Alabileceğiniz Bedava Dersler
- 08 Aug Gazze’nin yeniden inşasının karbon maliyeti 135’ten fazla ülkenin yıllık emisyonunu geçebilir