Araştırmacılar, NodeJS'ye benzeyen ancak bunun yerine uğursuz bir Truva atı bırakan bir Windows yürütülebilir dosyayı bile paketleyen NodeJS kütüphanelerinin adını taşıyan birden fazla NPM paketi keşfettiler.
Bu paketler, gizlilikleri ve çok düşük bir algılama oranı göz önüne alındığında, araştırmacılar tarafından tespit edilmesinden önce iki aydan fazla bir süredir NPM'de mevcuttu.
Yazılım güvenlik firması ReversingLabs'taki araştırmacılar, iki aydan fazla bir süredir NPMJS.com kayıt defterinde gizlenen üç NPM paketini analiz ettiler.
Toplam 1.200'den biraz fazla indirilen bu paketlere şu denir:
State ReversingLabs araştırmacıları, "İlk olarak iki aydan fazla bir süre önce yayınlanan Nodejs-incrypt-Agent, ilk bakışta meşru bir paket olarak görünüyor."
"Bununla birlikte, tutarsızlıklar araştırmacılarımızla kırmızı bayraklar yükseltti. Buna rağmen, ilk düşüncemiz hala bu paketin kötü niyetli olamayacağıydı. Olsaydı, kesinlikle NPM yöneticileri tarafından fark edilecek ve kaldırılacaktı."
Araştırmacılar, Nodejs-incelpt-Agent başlangıçta alarmlar seslendirmese ve hatta ajan-baz gibi meşru paketlerin işlevselliğini bile yansıtmasına rağmen, daha fazlası vardı.
"Bununla birlikte, küçük ama çok önemli bir fark vardı: Nodejs-incelpt-agent paketi, tersine dönme ile analiz edildiğinde kötü niyetli olduğu tespit edilen taşınabilir bir yürütülebilir (PE) dosyası içeriyordu."
Bahsedilen PE dosyası, hemen şüpheli görünmeyebilecek yaklaşık 100 MB boyutunda bir Windows yürütülebilir 'lib.exe' dir.
Dosya, PE başlıkları ve meta verileri, kod ve işlevselliği ile ilgili olarak gerçek NodeJS uygulamasına çok benzemektedir. Aslında, BleepingComputer gözlemledi, nodejs-incippt-agent'ın belirli sürümlerinde bulunan 'lib.exe' yürütülebilir ürünlerinin varyantlarının çok düşük bir algılama oranı vardı:
Aynı durum, Lib.exe için de özellikle tersine çevrilenler tarafından analiz edildi. Virustotal analiz, yürütülebilir dosyanın node.js'yi nasıl taklit ettiğini ve meşru uygulamadan özdeş meta verileri içerdiğini ortaya koymaktadır.
Kötü niyetli paketi analiz eden ReversingLabs araştırmacısı Igor Kramarić, Nodejs-Incrypt-Agent içindeki bir veya daha fazla JavaScript dosyasının meşru işlevsellik içerdiğini, ancak aynı zamanda paketlenmiş 'lib.exe'yi sessizce çalıştıran kodlara sahip olduğunu tespit etti:
"Yukarıda gözlemlediğimiz gibi: NPM paketinde keşfedilen PE'nin kötü niyetli olduğu konusunda çok az soru vardı."
Söz konusu kötü niyetli yürütülebilir, Turkorat Infostealer olarak adlandırılan şeyi - tespit edilmesi zor olan özelleştirilebilir bir "Grabber" ve kimlik bilgisi stealer'ı çalıştırdı.
"Gözlenen kötü niyetli veya şüpheli davranışların listesi, kullanıcı oturum açma kimlik bilgileri ve kripto cüzdanları da dahil olmak üzere enfekte sistemlerden hassas bilgileri çalmak için tasarlanmış özelliklerin yanı sıra kötü amaçlı dosyaları analiz etmek için kullanılan sandbox ortamlarını ve hata ayıklayıcıları aptal veya yenmek için tasarlanmış özelliklerle uzundu."
Nodejs-incrypt-Agent gibi, Nodejs-Cookie-Proxy-Agent sürümleri de bu Truva atını düşürdü, ancak algılamadan kaçmak için ek bir adım attı.
Doğrudan 'lib.exe' içinde bir araya getirmek yerine, Nodejs-Cookie-Proxy-Agent listelenen Axios-Proxy'ye bağımlılık olarak ve eski paketin bir kullanıcı tarafından yüklendiği zaman çekilecek kötü amaçlı yürütülebilir dosyayı içeren ikincisidir.
"Bu sefer, saldırganlar, Nodejs-Cookie-Proxy-Agent Sürümleri 1.1.0, 1.2.0, 1.2.1 ve 1.2.2'de bulunan her dosyaya aktarılan bir bağımlılık, Axios-Proxy olarak gizledi", " Araştırmacılar.
Tüm kötü amaçlı paketler, tersine dönme tabanları tarafından tespit edildikten kısa bir süre sonra NPM kayıt defterinden çıkarıldı. Ancak, bunların iki aydan fazla bir süredir NPM'de kalması, netlenmemiş açık kaynak paketlerinin yazılım tedarik zinciri güvenliğine neden olabileceği, araştırmacıları uyarma riskini vurgulamaktadır.
PYPI, yüksek hacimli kötü amaçlı yazılımların ortasında projeleri geçici olarak durduruyor
Google Play'e 600 bin kez yüklü yeni Fleckpe Android kötü amaçlı yazılım
Facebook, yeni Dodealer Bilgi Çalma Kötü Yazılımlarını bozar
Yeni Lobshot kötü amaçlı yazılım, bilgisayar korsanlarına Windows cihazlarına gizli VNC erişimini sağlar
IRS-Authorize Efile.com Vergi Beya Yazılımı Yakalandı JS Kötü Yazılım
Kaynak: Bleeping Computer