Kuzey Koreli Hackerlar Kötü Amaçlı npm Paketleri Aracılığıyla BeaverTail Kötü Amaçlı Yazılımını Yayıyor
Kuzey Koreli hackerlardan gelen yeni bir saldırı dalgası ortaya çıktı ve kötü amaçlı npm paketleri aracılığıyla yazılım geliştirme topluluğunu hedef aldı. Devam eden Contagious Interview kampanyasıyla ilişkilendirilen bu paketler, BeaverTail kötü amaçlı yazılımını ve yeni keşfedilen bir uzaktan erişim trojan (RAT) yükleyicisini dağıtmak için tasarlandı . Bu kampanya, Lazarus Group'un sistemlere sızma, hassas verileri çalma ve tehlikeye atılmış cihazlara uzun vadeli erişimi sürdürme yönündeki daha geniş kapsamlı çabasının bir parçasıdır.
İçindekiler
Tespitten Kaçmak İçin Kullanılan Karartma Teknikleri
Socket güvenlik araştırmacısı Kirill Boychenko'ya göre, bu son örnekler bir karartma tekniği olarak onaltılık dize kodlamasını kullanıyor ve bu da bunların hem otomatik sistemler hem de manuel kod denetimleri tarafından tespit edilmesini zorlaştırıyor. Kötü amaçlı yazılımın kaçınma stratejisindeki bu güncelleme, tehdit aktörlerinin güvenlik önlemlerini aşma yöntemlerinde açık bir evrim gösteriyor.
Geliştirici Araçları Gibi Görünen Kötü Amaçlı Paketler
Kötü amaçlı npm paketleri kaldırılmadan önce 5.600'den fazla kez indirildi. Tehlikeli paketlerden bazıları empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log ve consolidate-logger'dı. Bu paketlerin meşru yardımcı programlar veya hata ayıklayıcılar gibi görünmesi amaçlanmıştı ancak aslında kötü amaçlı yükleri taşıyorlardı.
Sahte İş Görüşmeleriyle Veri Çalmak
Bu açıklama, bir ay önce altı npm paketinin BeaverTail'i yaydığı keşfedildiğinde meydana gelen benzer bir olayı takip ediyor. BeaverTail, aynı zamanda Python tabanlı InvisibleFerret adlı bir arka kapı da sunuyordu. Bu saldırıların nihai amacı, iş görüşmesi süreçleri kisvesi altında geliştirici sistemlerine sızmaktır. Kötü amaçlı yazılım içeri girdiğinde hassas bilgileri çalar, finansal varlıkları sifonlar ve bilgisayar korsanlarının tehlikeye atılmış sistemlere sürekli erişim sağlamasını sağlar.
Lazarus Group ve Phantom Circuit Kampanyasına Bağlantılar
Dikkat çekici bir paket olan dev-debugger-vite, daha önce SecurityScorecard tarafından Phantom Circuit adlı bir kampanyada Lazarus Group ile ilişkili olarak işaretlenen bir komut ve kontrol (C2) adresi kullandı. Events-utils ve icloud-cod gibi diğer paketlerin, önceki kampanyalarda görülen olağan GitHub hedeflerinden farklı olarak Bitbucket depolarına bağlı olduğu bulundu. Bu değişim, icloud-cod paketinde bulunan "eiwork_hire" diziniyle birlikte, saldırganların enfeksiyonu etkinleştirmek için iş görüşmesiyle ilgili taktikleri kullanmaya devam ettiğini gösteriyor.
Enfeksiyon Başarısını Maksimize Etmek İçin Çoklu Varyantlar
cln-logger, node-clog, console-log ve consolidate-logger dahil olmak üzere bazı paketlerin analizi, kodda küçük farklılıklar olduğunu ortaya koydu. Bu değişiklikler, tehdit aktörlerinin birden fazla kötü amaçlı yazılım çeşidi dağıtarak kampanyalarının başarı oranını artırmaya çalıştığını gösteriyor. Bu farklılıklara rağmen, bu dört paketteki gömülü kod, uzak sunuculardan ek yükler getirip yürütebilen bir RAT yükleyicisi olarak işlev görüyor. Bu aşamada, yüklenen kötü amaçlı yazılımın tam doğası belirsizliğini koruyor çünkü araştırmacılar araştırma yaptığında C2 uç noktaları artık yükler sunmuyordu.
RAT Yükleyici, Enfekte Sistemlerin Uzaktan Kontrolünü Sağlar
Boychenko kötü amaçlı kodu, eval() kullanarak uzaktan JavaScript'i alıp çalıştıran RAT yeteneklerine sahip etkin bir yükleyici olarak tanımladı. Bu yöntem saldırganların seçtikleri herhangi bir takip eden kötü amaçlı yazılımı dağıtmalarına olanak tanır ve bu da RAT yükleyicisini kendi başına önemli bir tehdit haline getirir.
Bulaşıcı Röportaj Kampanyası Yavaşlama Belirtisi Göstermiyor
Bu bulgular Bulaşıcı Röportaj kampanyasının sürekliliğini vurguluyor. Saldırganlar yavaşlama belirtisi göstermedi, yeni npm hesapları oluşturmaya ve npm, GitHub ve Bitbucket gibi çeşitli platformlarda kötü amaçlı kod dağıtmaya devam etti. Ayrıca taktiklerini çeşitlendirdiler, farklı takma adlar altında yeni kötü amaçlı yazılımlar yayınladılar, çeşitli depolar kullandılar ve BeaverTail ve InvisibleFerret gibi iyi bilinen kötü amaçlı yazılım varyantlarını daha yeni RAT/yükleyici varyantlarıyla birlikte kullandılar.
Tropidoor Kötü Amaçlı Yazılımı Geliştirici Hedefli Kimlik Avı Saldırılarında Ortaya Çıkıyor
Bu arada, Güney Koreli siber güvenlik şirketi AhnLab yakın zamanda kampanyanın başka bir yönünü ortaya çıkardı. BeaverTail'i dağıtan ve daha sonra Tropidoor adlı daha önce belgelenmemiş bir Windows arka kapısını dağıtmak için kullanılan işe alım temalı bir kimlik avı saldırısı tespit ettiler. Bitbucket'ta barındırılan bir npm kütüphanesi aracılığıyla dağıtılan bu arka kapı, çok çeşitli kötü amaçlı eylemler gerçekleştirebilir. Tropidoor dosyaları sızdırabilir, sürücüler ve dosyalar hakkında bilgi toplayabilir, işlemleri çalıştırabilir, ekran görüntüleri yakalayabilir ve hatta dosyaları NULL veya önemsiz verilerle silebilir veya üzerine yazabilir.
Gelişmiş Yetenekler Bilinen Lazarus Kötü Amaçlı Yazılımına Bağlantı Öneriyor
AhnLab'ın analizi Tropidoor'un bir indirici aracılığıyla bellekte çalıştığını ve talimatları almak için bir C2 sunucusuyla iletişim kurduğunu buldu. Kötü amaçlı yazılım, LightlessCan gibi diğer Lazarus Group kötü amaçlı yazılımlarında da gözlemlenen schtasks, ping ve reg gibi Windows komutlarını doğrudan kullanır. Bu bağlantı, mevcut faaliyeti, karmaşık siber casusluk taktikleri kullanmasıyla kötü şöhretli olan Kuzey Koreli grupla daha da ilişkilendirir.
Geliştiriciler Tedarik Zinciri Saldırılarına Karşı Dikkatli Olmaya Çağrıldı
Son ifşalar, Lazarus Group ve diğer APT aktörlerinin oluşturduğu devam eden tehdidin altını çiziyor. Geliştiriciler ve kullanıcılar, bilinmeyen veya şüpheli kaynaklardan paket indirirken veya dosya açarken dikkatli olmalıdır. Bu saldırılar gelişmeye devam ederken, kimlik avı kampanyalarına karşı dikkatli olmak ve bağımlılıkları kötü amaçlı kod açısından incelemek, hassas bilgilerin yanlış ellere geçmesini önlemek için çok önemlidir.