Siber güvenlik uzmanları, npm kütüphane deposunu hedef alan ve bir yılı aşkın süredir devam eden bir yazılım tedarik zinciri saldırısını ortaya çıkardı. Başlangıçta zararsız bir JavaScript kütüphanesi olan @0xengine/xmlrpc, daha sonra sistemlere zararlı kod ekleyerek hassas verileri çalmak ve kripto para madenciliği yapmak için kullanıldı.

Zaman Çizelgesi ve Etkisi

Kütüphane, 2 Ekim 2023'te Node.js için bir XML-RPC sunucusu ve istemcisi olarak yayınlandı ve şu ana kadar 1.790 kez indirildi. Ancak, Checkmarx araştırmacıları, 3 Ekim 2023'te yayınlanan 1.3.4 sürümünün zararlı kod içerdiğini tespit etti. Bu kod, her 12 saatte bir SSH anahtarları, bash geçmişi, sistem meta verileri ve çevre değişkenlerini topluyor ve bu verileri Dropbox ve file.io gibi hizmetler aracılığıyla dışarı aktarıyor.

Dağıtım Yöntemleri

Saldırı birkaç farklı yolla yayıldı:

1. Doğrudan Yükleme: Geliştiriciler, npm üzerinden bu kütüphaneyi zararlı olduğunu bilmeden yükledi.
2. Gizli Bağımlılık: GitHub’daki yawpp (Yet Another WordPress Poster) adlı bir proje, bu kütüphaneyi "package.json" dosyasında bağımlılık olarak listeledi ve böylece kullanıcılar aracı kurmaya çalışırken zararlı kütüphane otomatik olarak indirildi.

Kripto Madenciliği ve Kalıcılık

Kütüphane kurulduktan sonra şu işlemleri gerçekleştirir:

• XMRig kripto madenciliği aracı ile Monero cüzdanına bağlı 68 sistem üzerinden kripto para madenciliği yapar.
• Süreçleri izler ve top, iostat gibi araçlar algılandığında madencilikle ilgili işlemleri sonlandırır.
• Kullanıcı etkinliği tespit edildiğinde madencilik faaliyetlerini durdurur.

Daha Geniş Bir Tehdit: MUT-8694

Bu keşif, aynı zamanda Datadog Security Labs tarafından bildirilen, MUT-8694 adlı bir kampanya ile örtüşmektedir. Bu kampanya, Windows kullanıcılarını hedef alarak npm ve PyPI'ye yüklenen sahte paketlerle Blank-Grabber ve Skuld Stealer gibi zararlı yazılımlar yaymaktadır.

Geliştiriciler İçin Önemli Dersler

• Typosquatting gibi teknikler, zararlı kütüphaneleri meşru gösterebilir; bu, özellikle Roblox geliştiricilerini hedef alan npm paketlerinde görüldü.
• MUT-8694 gibi tehdit aktörlerinin ısrarı, yazılım tedarik zincirinde sürekli bir tetikte olmayı gerektirir.
• Düzenli denetimler ve bağımlılıkların dikkatlice incelenmesi, zararlı güncellemelerden kaynaklanan riskleri en aza indirmek için kritik öneme sahiptir.

.