TLDR;
- Güvenlik araştırmacıları iki kötü niyetli npm paketi tespit etti,
warbeast2000
vekodiak2k
geliştiricilerin sistemlerinden SSH anahtarlarını sızdırmak için tasarlanmıştır. - Bu paketler, Base64 ile şifrelenmiş çalıntı SSH anahtarlarını depolamak için GitHub depolarını kullanmıştır.
- Şaşırtıcı bir 1300% artış açık kaynak paket yöneticilerindeki kötü amaçlı paketlerde 2020'den 2023'ün sonuna kadar rapor edilmiştir.
Güvenlik uzmanları, açık kaynak topluluğu için endişe verici bir eğilim olarak, GitHub geliştiricilerini SSH anahtarlarını çalarak hedef alan kötü niyetli npm paketlerini ortaya çıkardı. Bu paketlerin keşfedilmesi warbeast2000
ve kodiak2k
yazılım geliştirme ve açık kaynak katkıları alanında büyüyen bir sorunu vurgulamaktadır.
Her iki paketin de ek JavaScript dosyalarını alıp çalıştıran ve sonuçta SSH anahtarlarının sızmasına yol açan yükleme sonrası komut dosyalarını çalıştırdığı tespit edilmiştir. Bu anahtarlar daha sonra saldırgan kontrolündeki GitHub depolarıBu durum, etkilenen geliştiriciler ve ilgili projeleri için önemli bir güvenlik riski oluşturmaktadır.
Kötü Amaçlı Paketlere İlişkin Ayrıntılı Bilgiler
Bu warbeast2000
paketi, henüz geliştirme aşamasındayken, son sürümünde özel SSH anahtarını okumak ve yüklemek için tasarlanmış bir JavaScript dosyasını etkinleştiren bir yükleme sonrası komut dosyası içeriyordu. id_rsa
içinde bulunan dosya ~/.ssh
dizin.
Bu betik, anahtarı saldırgan tarafından kontrol edilen bir GitHub deposuna yüklemeden önce Base64 ile kodlamıştır. Yaklaşık 400 gibi nispeten düşük bir indirme sayısına sahip olmasına rağmen, güvenlik üzerindeki potansiyel etkisi önemlidir.
Diğer taraftan, kodiak2k
hepsi kötü niyetli 30'dan fazla sürümle daha karmaşık bir davranış sergilemiştir. Bu paket yalnızca SSH anahtarlarını aramakla kalmamış, aynı zamanda İmparatorluk sömürü sonrası çerçeve ve Mimikatzkimlik bilgisi dökümü için kullanılan bir araçtır.
Yaklaşık 950 indirme ile bu paketin erişimi ve potansiyel zararı endişe vericidir.
Kötü Amaçlı Paketlerin Artan Tehdidi
tarafından bildirildiği üzere, bu olay daha büyük bir eğilimin parçasıdır. ReversingLabs2020'den 2023'ün sonuna kadar açık kaynak paket yöneticilerindeki kötü amaçlı paketlerde 1300%'lik bir artış kaydetti. GitHub gibi açık kaynaklı platformların kötü niyetli aktörler tarafından kampanyalarını desteklemek için kullanılması süregelen bir endişe kaynağıdır. Açık kaynaklı kötü amaçlı yazılımların ve ayrıntılı belgelerin mevcudiyeti, düşük vasıflı bilgisayar korsanlarının bile sofistike kötü amaçlı yazılımları dağıtmasına olanak tanır.
Geliştiriciler için Öneriler
Bu keşifler ışığında ReversingLabs, geliştiricilerin paket yöneticilerinden yazılım kullanmadan önce kapsamlı güvenlik değerlendirmeleri yapmalarını önermektedir. Kötü amaçlı yazılım yazmaya yönelik yeni teknikler hakkında farkındalık ve genel depolarda gizlenen tehditlere karşı tetikte olmak, bu tür saldırılara karşı korunmak için çok önemlidir.
Sonuç
Keşfi warbeast2000
ve kodiak2k
yazılım tedarik zincirinde mevcut olan güvenlik açıklarını keskin bir şekilde hatırlatıyor. Açık kaynak topluluğu büyümeye devam ettikçe, kötü niyetli aktörler tarafından istismar edilme potansiyeli de artıyor.
Geliştiricilerin, güvenlik araştırmacılarının ve kullanıcıların bu gelişen tehditler karşısında uyanık ve proaktif kalmaları zorunludur.