Düğüm Paket Yöneticisi (npm) kayıt defterinde yayınlanan yedi paket, araştırmacıları potansiyel kurbanlardan ayırmak ve onları kötü amaçlı konumlara yönlendirmek için Adspect bulut tabanlı hizmetini kullanıyor.
Uygulama güvenlik şirketi Socket'teki araştırmacıların yaptığı bir analize göre, saldırının amacı kurbanları kripto para dolandırıcılığı sitelerine yönlendirmek.
Tüm kötü amaçlı paketler, Eylül ve Kasım ayları arasında geliştirici adı 'dino_reborn' (geneboo@proton[.]me) altında yayınlandı. Ancak bunların altısı kötü amaçlı kod içeriyor, yedincisi ise kötü amaçlı bir web sayfası oluşturmak için kullanılıyor:
Araştırmacılar, sinyal yerleştirmenin doğası gereği kötü amaçlı olmadığını ve yalnızca beyaz bir tuzak web sayfası oluşturmaya yönelik kodu içerdiğini söylüyor. Diğer altısında ise trafiğin bir araştırmacıdan mı yoksa potansiyel bir kurbandan mı geldiğini belirlemek için ziyaretçiler hakkında veri toplayan kod bulunuyor.
Bu, tarayıcı tanımlayıcıları, sayfa ve URL verileri, mevcut sayfanın ana makine ve ana makine adı gibi tarayıcı ortamından bilgilerin toplanması ve bu bilgilerin Adspect API'sine gönderilmek üzere hazırlanmasıyla gerçekleştirilir.
Soket araştırmacıları, altı kötü amaçlı paketin gizleme mekanizmasını içeren 39kB'lik bir kod içerdiğini ve kodun, Anında Çağrılan İşlev İfadesi (IIFE) sarması nedeniyle ekstra kullanıcı eylemi gerektirmeden sayfa yüklemede otomatik olarak yürütüldüğünü belirtti.
Saldırı, güvenliği ihlal edilen geliştiricinin web uygulaması kötü amaçlı JavaScript'i tarayıcıya yüklediğinde gerçekleştirilir.
Socket'e göre enjekte edilen kod, sağ tıklamayı, F12, Ctrl+U, Ctrl+Shift+I'yi engelleme ve DevTools algılanırsa sayfayı yeniden yükleme gibi anti-analiz özelliklerine sahiptir. Bu, güvenlik araştırmacılarının web sayfasını incelemesini zorlaştırır.
Komut dosyası, ziyaretçinin kullanıcı aracısını, ana bilgisayarı, yönlendireni, URI'yi, sorgu dizesini, protokolü, dili, kodlamayı, zaman damgasını ve kabul edilen içerik türlerini toplar ve parmak izi verilerini bir tehdit aktörü proxy'sine gönderir.
Gerçek kurbanın IP adresi alınır ve Adspect API'sine iletilir; bu API daha sonra ziyaretçiyi sınıflandırmak için verileri değerlendirir.
Hedef olarak nitelendirilen ziyaretçiler, sahte bir kripto para birimi markalı (Ethereum, Solana) CAPTCHA sayfasına yönlendirilir ve bu, Adspect tanımlı bir URL'yi yeni sekmede açarken kullanıcı tarafından başlatılan bir eylem olarak maskeleyen aldatıcı bir diziyi tetikler.
Ziyaretçiler potansiyel araştırmacı olarak işaretlenirse şüpheyi azaltmak için sahte ancak zararsız bir Offlido şirket sayfası yüklenir.
Adspect, bir web sayfasına yetkisiz erişimi filtreleyen, botları ve kötü niyetli aktörleri engelleyen ve meşru kullanıcılara izin veren bulut tabanlı bir hizmet olarak pazarlanmaktadır.
BleepingComputer, kötüye kullanımdan haberdar olup olmadıklarını ve bunu önlemek için hangi mekanizmaların mevcut olduğunu belirlemek için firmayla temasa geçti ve bir sözcü şu yorumu yaptı:
Adspect, "Bu tür önlemlerimiz yok ve bunların uygulanması teknik olarak imkansız. Herhangi bir trafiği yönlendirmiyoruz: Hizmetimiz, hangi IP'nin bot olduğunu, hangisinin olmadığını söyleyen bir API'dir. Müşterilerimizin bu bilgilerle ne yapacağı onlara bağlıdır, tıklama kontrolü için API'miz kendi sunucularında kabloludur ve bu nedenle orada olup bitenlere dair herhangi bir erişimimiz veya içgörümüz yok" dedi.
"Adspect; Puppeteer, Playwright, Selenium vb. üzerine inşa edilen botları tespit etmek için tasarlanmıştır. Ayrıca barındırma/veri merkezi şirketlerinin IP adreslerinden yapılan sahte istekleri de tespit etmek için tasarlanmıştır. Hiçbir araştırmacıyı doğrudan hedeflemiyoruz, dolayısıyla hizmetimizin kullanım amacı bu değildir."
"Ayrıca makalede bahsedilen Adspect akış kimliğini de kontrol ettik, ancak bu gerçek bir kimlik değil. Ya örnek bir kimliktir ya da gerçek bir kimliktir ancak akış daha sonra aktör tarafından silinmiştir. Sahibini bulup bulamayacağımızı görmek için günlüklerimizde ek kontroller gerçekleştireceğiz ve Kullanım Koşullarımızı ihlal ettiği için onu yasaklamaya devam edeceğiz."
Güncelleme 11/18 - Adspect'ten yorum eklendi
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Yeni 'IndonesianFoods' spam göndericisi npm'yi 150.000 paketle doldurdu
ABD, Çinli kripto dolandırıcılarını hedef alan yeni saldırı gücünü duyurdu
“Bitcoin Kraliçesi” 7,3 milyar dolarlık Bitcoin dolandırıcılığından 11 yıl hapis cezasına çarptırıldı
Kötü amaçlı NPM paketleri Windows, Linux ve macOS için bilgi hırsızı getiriyor
PhantomRaven saldırısı npm'yi kimlik bilgileri çalan paketlerle dolduruyor
Kaynak: Bleeping Computer