Npm Trojan, UAC'yi atlayarak 'Oscompatible' paketi ile AnyDesk'i yükler.

Npm depo sistemine yüklenmiş kötü niyetli bir paket, hedeflenmiş Windows makinelerinde karmaşık bir uzaktan erişim Truva atı dağıttığı belirlenmiştir.

"oscompatible" adlı paket, 9 Ocak 2024 tarihinde yayımlanmış ve kaldırılmadan önce toplam 380 kez indirilmiştir.

oscompatible, yazılım tedarik zinciri güvenliği firması Phylum'a göre, tek bir yürütülebilir dosya, bir dinamik bağlantı kitaplığı (DLL) ve bir şifrelenmiş DAT dosyasının yanı sıra bir JavaScript dosyası içeren "birkaç garip ikili dosya" içermekteydi.

Bu JavaScript dosyası ("index.js"), hedef makinenin Microsoft Windows üzerinde çalışıp çalışmadığını belirlemek için bir uyumluluk kontrolü gerçekleştirir ve ardından "autorun.bat" adlı bir toplu iş dosyasını yürütür.

Eğer platform Windows değilse, kullanıcıya bir hata mesajı gösterir ve betiğin Linux veya tanınmayan bir işletim sisteminde çalıştığını belirterek, bunu "Windows Server OS" üzerinde çalıştırmalarını istir.

Toplu iş dosyası, kendi başına yönetici ayrıcalıklarına sahip olup olmadığını doğrular ve eğer yoksa, bir PowerShell komutu aracılığıyla "cookie_exporter.exe" adlı meşru bir Microsoft Edge bileşenini çalıştırır.

Çalıştırmaya yönelik bir girişim, Hesap Kontrolü (UAC) uyarısı tetikleyerek hedefe yönetici kimlik bilgileriyle çalıştırma isteğinde bulunacaktır.

Bu işlemle tehdit aktörü, DLL ("msedge.dll")'yi çalıştırarak DLL arama sırası kaçırma tekniğini kullanarak saldırının bir sonraki aşamasını gerçekleştirir.

Kötü amaçlı yazılım tarafından etkilenmiş versiyonu olan kütüphane, DAT dosyasını ("msedge.dat") şifre çözme ve "msedgedat.dll" adlı başka bir DLL'yi başlatma amacıyla tasarlanmıştır. Bu da sırasıyla "kdark1[.]com" adlı aktör tarafından kontrol edilen bir etki alanıyla bağlantılar kurarak bir ZIP arşivi alır.

ZIP dosyası, AnyDesk uzak masaüstü yazılımını ve bir komut ve kontrol (C2) sunucusundan WebSockets aracılığıyla talimat alabilen bir uzaktan erişim Truva atı ("verify.dll") içerir ve aynı zamanda ana bilgisayarından hassas bilgileri toplar.

Ayrıca, "Chrome uzantılarını Güvenli Tercihlere yükler, AnyDesk'i yapılandırır, ekranı gizler ve Windows kapatmayı devre dışı bırakır, [ve] klavye ve fare olaylarını yakalar," Phylum söyledi.

Bilgisayar Güvenliği
"Oscompatible"ın kampanyanın bir parçası olarak kullanılan tek npm modülü gibi görünmesine rağmen, gelişme, tehdit aktörlerinin giderek daha fazla açık kaynaklı yazılım (OSS) ekosistemlerini tedarik zinciri saldırıları için hedef aldığının bir başka işaretidir.

"Binary tarafından bakıldığında, verileri şifreleme, iptal edilmiş bir sertifika kullanma, uzaktaki kaynaklardan diğer dosyaları çekme ve kendini standart bir Windows güncelleme süreci gibi gizleme girişimi, genellikle OSS ekosistemlerinde gördüklerimize kıyasla oldukça karmaşıktır," şirket dedi.

Bu açıklama, bulut güvenliği firması Aqua'nın, en çok indirilen 50.000 npm paketinin %21,2'sinin kullanılmadığı ve kullanıcıları güvenlik riskine maruz bıraktığını açıklamasının bir parçası olarak ortaya çıktı. Başka bir deyişle, bu kullanılmayan paketler haftalık 2.1 milyar kez indirilmektedir.

Bu, paketlerle ilişkilendirilmiş arşivlenmiş ve silinmiş GitHub depolarını, görünür bir depo, taahhüt geçmişi ve sorun izleme olmaksızın sürdürenleri içerir.

"Güvenlik açıklarını yamalar veya CVE atamaları ile ele almak yerine, etkilenen paketleri kullanılmaz hale getirmeyi tercih eden bakım görevlileri olduğunda, bu durum kritik bir hal alır," dedi güvenlik araştırmacıları Ilay Goldman ve Yakir Kadkoda.

"Bunu özellikle endişe verici kılan şey, bu bakım görevlilerinin bazen paketi npm üzerinde resmi olarak kullanılmaz hale getirmezler, bu da potansiyel tehditlerden habersiz kalan kullanıcılar için bir güvenlik açığı bırakır."

Etiket: #SoftwareSecurity #Spyware

Kategori: SoftwareSecurity

Eklenme Tarihi: 19.01.2024