Yönetim bilgisi çalma kodu içeren altmış kötü niyetli yakut taşlar, Mart 2023'ten bu yana 275.000'den fazla indirildi ve geliştirici hesaplarını hedef aldı.
Kötü niyetli yakut taşlar, öncelikle Güney Koreli kullanıcıları Instagram, Tiktok, Twitter/X, Telegram, Naver, WordPress ve Kakao için otomasyon araçlarını hedeflediklerini bildiren soket tarafından keşfedildi.
Rubygems, JavaScript için NPM veya Python için Pypi gibi GEMS olarak bilinen yakut kütüphanelerinin dağıtımını, kurulumunu ve yönetimini sağlayan Ruby programlama dilinin resmi paket yöneticisidir.
Bu kampanyadaki kötü niyetli taşlar, yıllar boyunca çeşitli takma adlar altında Rubygems.org adresinde yayınlandı. Rahatsız edici yayıncılar Zon, Nowon, Kwonsoonje ve Soonje, etkinliği izlemeyi ve engellemeyi zorlaştırmak için etkinliği birden fazla hesap üzerine yayıyor.
Kötü amaçlı paketlerin tam listesi Socket'in raporunda bulunabilir, ancak aşağıda aldatıcı olarak adlandırılan veya yazım hatası paketleri olan bazı önemli durumlardır:
Soket raporunda vurgulanan 60 mücevher tümü, meşru görünen bir grafik kullanıcı arayüzü (GUI) ve reklamı yapılan işlevsellik sunar.
Bununla birlikte, pratikte, kullanıcıların giriş formunda giriş formunda giren kimlik bilgilerini ekleyen kimlik oluşturma araçları olarak hareket eden kimlik oluşturma araçları olarak hareket ederler (Programzon [.] Com, Appspace [.] Kr, Marketingduo [.] CO [.] KR).
Toplanan veriler, düz metinlerdeki kullanıcı adlarını ve şifreleri, parmak izi için Cihaz MAC adreslerini ve kampanya performans takibi için paket adını içerir.
Bazı durumlarda, gerçek hizmete gerçek bir giriş veya API çağrısı yapılmasına rağmen, araçlar sahte bir başarı veya başarısızlık mesajı ile yanıt verir.
Socket, saldırgana bağlı şüpheli bir pazarlama aracı sitesi olan MarketingDuo [.] KR ile etkileşimlere dayanarak, bu mücevherlerden türetilen Rusça konuşan karanlık ağ pazarlarında kimlik bilgileri buldu.
Araştırmacılar, 60 kötü niyetli yakut mücevherden en az 16'sının mevcut kaldığını, ancak hepsini keşif üzerine Rubygems ekibine bildirdiklerini söylüyorlar.
Rubygems'e olan tedarik zinciri saldırıları benzeri görülmemiş değil ve birkaç yıldır devam ediyorlar.
Haziran ayında, Socket, mobil uygulama geliştiricileri için bir otomasyon aracı olarak hizmet veren ve özellikle telgraf bot geliştiricilerini hedefleyen meşru bir açık kaynak eklentisi olan fastlane yazım hatası olan başka bir kötü niyetli yakut mücevher vakası bildirdi.
Geliştiriciler, açık kaynaklı depolardan kaynaklandıkları kütüphaneleri gizlenmiş parçalar gibi şüpheli kod belirtileri için incelemeli, yayıncının itibarını ve serbest bırakma geçmişini göz önünde bulundurmalı ve 'güvenli olduğu bilinen' bağımlılıkları kilitlemelidir.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.
Kötü amaçlı yazılımları bırakmak için kimlik avı ile kaçırılan popüler NPM Linter paketleri
Bilgisayar korsanları ihlali Toptal GitHub Hesabı, Kötü niyetli NPM paketleri yayınlayın
WordPress Gravity Forms geliştiricisi, backdoed eklentileri bastırmak için hacklendi
Amazon AI kodlama aracısı, veri silme komutlarını enjekte etmek için hacklendi
NPM 'yanlışlıkla' Stylus paketini kaldırır, Breaks Builds ve boru hatları
Kaynak: Bleeping Computer