Siber suçlular, Ethereum akıllı sözleşmelerini kullanarak zararlı npm paketlerinde tespit mekanizmalarını aşmayı sağlayan yeni bir yöntem geliştirdi. Yazılım güvenliği firması ReversingLabs’in raporuna göre saldırganlar, açık kaynak araçlardan yararlanarak dijital saldırılarını giderek yoğunlaştırıyor.
Söz konusu kötü amaçlı yazılım tedarik zinciri kampanyasında, Node Package Manager (NPM) paketlerine komuta ve kontrol (C2) talimatlarını gizleyen kodlar eklendi. Bu yöntem, çok sayıda JavaScript kütüphanesi üzerinden tehlikeli açık kaynak unsurlarının sisteme dahil edilmesine yol açtı. ReversingLabs araştırmacısı Lucija Valentic, temmuz ayında ortaya çıkan “colortoolsv2” ve onun kopyası “mimelib2” adlı iki paketin, ikinci aşama indiriciyi çalıştırmadan önce zincir üzerindeki sözleşmelerden C2 URL’lerini çektiğini aktardı.
Çarşamba günü yayımlanan teknik raporda, söz konusu paketlerin gizlenmiş bir komut dosyası çalıştırarak, doğrudan bağlantılar yerine Ethereum sözleşmelerine sorgu gönderdiği ve buradan sonraki aşama yükün konumunu aldığı belirtildi. Bu yöntem, tespit ve müdahale sürecini zorlaştırarak yeni bir saldırı vektörü oluşturuyor.
“Bunu daha önce görmemiştik” diyen Valentic, tehdidin aktörlerinin tespit mekanizmalarından kaçma stratejilerini ne kadar hızlı geliştirdiğini gösterdiğini ifade etti. Operasyonda ayrıca, sahte kripto temalı GitHub depoları kullanıldı. Yıldız sayıları şişirilmiş, otomatik oluşturulan commit’lerle donatılmış bu sahte depolar, geliştiricileri paketleri projelerine dahil etmeye ikna etmeyi amaçladı. Valentic, zararlı yazılım ailesinin npm yöneticilerine bildirildikten sonra kaldırıldığını belirtti. Ancak ReversingLabs, olayı ticaret botu veya kripto aracı gibi sunulan zararlı npm ve GitHub projelerini içeren daha geniş kapsamlı bir kampanyanın parçası olarak değerlendirdi.
Bu yeni yöntem, her ne kadar bu yeni yöntem engellenmiş olsa da kriptografi teknolojisini kullanan kod tabanlı saldırılar bununla sınırlı değil. Şirket, temmuz ayında yayımlanan iki npm paketinin ötesinde, saldırganların “solana-trading-bot-v2” gibi aldatıcı depolar aracılığıyla güven kazandığını belirtti. Bu depolarda binlerce yüzeysel commit, sahte hesaplarla yürütülen bakım faaliyetleri ve koordine edilmiş yıldız artırma aktiviteleri dikkat çekerken, zararlı paketler isim değişiklikleriyle gizlice aktarılıyordu.
ReversingLabs daha önce de geliştirici güvenini ve açık kaynak araçlarını suistimal eden benzer npm kampanyalarına dikkat çekmişti.
