Siber güvenlik araştırmacıları, npm paket kayıt defterinde uzak bir sunucudan gönderilen kötü amaçlı komutları yürütmek için arka kapı kodunu gizleyen iki kötü amaçlı paket belirledi.
Söz konusu paketler – img-aws-s3-object-multipart-copy ve legacyaws-s3-object-multipart-copy – sırasıyla 190 ve 48 kez indirildi. Şu an itibarıyla, npm güvenlik ekibi tarafından bu paketler kaldırıldı.
Yazılım tedarik zinciri güvenlik firması Phylum tarafından yapılan analizde, “Paketler, kurulumu sırasında yürütülecek görüntü dosyalarında gizlenmiş gelişmiş komut ve kontrol işlevselliği içeriyordu” ifadeleri kullanıldı.
Bu kötü amaçlı paketler, aws-s3-object-multipart-copy adlı meşru bir npm kütüphanesini taklit edecek şekilde tasarlanmıştır. Ancak, bir JavaScript dosyasını (“loadformat.js”) yürütmek için “index.js” dosyasının değiştirilmiş bir sürümünü içermektedirler.
JavaScript dosyası, kötü amaçlı içeriği çıkarmak ve yürütmek için Microsoft’un logosuna karşılık gelen görüntüyle birlikte Intel, Microsoft ve AMD’ye ait kurumsal logoları içeren üç farklı görüntüyü işlemek üzere tasarlanmış.
Kod, ana bilgisayar adını ve işletim sistemi ayrıntılarını göndererek yeni istemciyi bir komut ve kontrol (C2) sunucusuna kaydeder. Daha sonra her beş saniyede bir, saldırgan tarafından verilen komutları yürütmeye çalışıyor.
Son aşamada, komutların yürütülmesinin çıktısı belirli bir uç nokta aracılığıyla saldırgana geri iletilir.
Phylum, “Son birkaç yılda, açık kaynak ekosistemlerine yayınlanan kötü amaçlı paketlerin karmaşıklığında ve hacminde dramatik bir artış gördük” dedi. “Bu saldırılar başarılıdır. Geliştiricilerin ve güvenlik kuruluşlarının bu gerçeğin farkında olmaları ve tükettikleri açık kaynak kütüphaneleri konusunda son derece dikkatli olmaları gerekmektedir.” ifadelerini kullandı.