Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) uzmanları, Quasar art kapısını ve kripto para ünitesi sızdırmak için tasarlanmış bir hırsızı indirmek üzere kullanılan açık kaynaklı paketler keşfetti. Kelam konusu paketler, yapay zeka takviyeli kodlama için kullanılan bir araç olan Visual Studio Code’u temel alan Cursor AI geliştirme ortamı için tasarlanmış.
Kötü hedefli açık kaynak paketleri, Open VSX deposunda barındırılan ve Solidity programlama lisanı için dayanak sağladığını sav eden uzantılardan oluşuyor. Fakat indirildiklerinde kullanıcıların aygıtlarına makus gayeli kod indirip çalıştırıyorlar.
Yaşanan bir siber olaya müdahale sırasında Rusya’daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar kıymetinde kripto varlık çalmasına müsaade veren bu geçersiz uzantılardan birini bilgisayarına yüklendiğini görmesinin akabinde Kaspersky’e ulaştı.
Bu paketlerin ardındaki tehdit aktörü, berbat niyetli paketin legal paketten daha üst sıralarda yer almasını sağlayarak geliştiriciyi kandırmayı başarıyor. Saldırgan, bunu makus emelli paketin indirilme sayısını yapay olarak 54 bine çıkararak başarmış.
“Solidity” sorgusu için arama sonuçları: Makûs hedefli uzantı (kırmızı ile vurgulanmış) ve yasal uzantı (yeşil ile vurgulanmış).
Kurulumdan sonra uzantı gerçek bir fonksiyonellik ortaya koymuyor. Bunun yerine bilgisayara berbat hedefli ScreenConnect yazılımını yüklüyor ve tehdit aktörlerine virüslü aygıta uzaktan erişim müsaadesi veriyor. Bu erişimi kullanarak tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından data toplayan bir hırsızla birlikte açık kaynaklı Quasar art kapısını konuşlandırılıyor. Bu araçlarla tehdit aktörleri, geliştiricinin cüzdan tohum cümlelerini elde etti ve hesabındaki kripto paraları çaldı.
Geliştirici tarafından indirilen makus gayeli uzantı keşfedilip depodan kaldırıldıktan sonra, tehdit aktörü bunu tekrar yayınladı ve yasal paket için 61 bin olan yükleme sayısını yapay olarak 2 milyon üzere daha yüksek bir sayıya çıkardı. Kaspersky’den gelen talep üzerine uzantı platformdan kaldırıldı.
Kaspersky Küresel Araştırma ve Tahlil Takımı Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “Güvenliği ihlal edilmiş açık kaynak paketlerini çıplak gözle tespit etmek giderek zorlaşıyor. Tehdit aktörleri, potansiyel kurbanları, hatta siber güvenlik riskleri konusunda güçlü bir anlayışa sahip olan geliştiricileri, bilhassa de blok zinciri geliştirme alanında çalışanları kandırmak için giderek daha yaratıcı taktikler kullanıyor. Saldırganların geliştiricileri maksat almaya devam etmesini beklediğimizden, tecrübeli BT uzmanlarının bile hassas dataları korumak ve mali kayıpları önlemek için özel güvenlik tahlilleri kullanmalarını öneriyoruz.”
Saldırının ardındaki tehdit aktörü sadece makûs maksatlı Solidity uzantılarını değil, birebir vakitte ScreenConnect’i de indiren solsafe isimli diğer bir NPM paketini de yayınladı. Birkaç ay evvel, solaibot, among-eth ve blankebesxstnion olmak üzere üç makûs gayeli Visual Studio Code uzantısı daha yayınlanmıştı. Bunların hepsi şu an depodan kaldırılmış durumda.
Kaspersky inançta kalmak için şunları öneriyor:
- İçeride gizlenmiş olabilecek tehditleri tespit etmek için kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir çözüm kullanın.
- Bir tehdit aktörünün şirketinizin altyapısına erişim kazanmış olabileceğinden şüpheleniyorsanız, geçmiş yahut devam eden hücumları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz.
- Paketleri ve bakımlarını doğrulayın. Paketin ardındaki bakımcının yahut kuruluşun güvenilirliğini denetim edin. Dengeli sürüm geçmişine, sağlanan dokümanlara ve etkin sorun izleyicilere bakın.
- Ortaya çıkan tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, o kadar süratli karşılık verebilirsiniz.
Securelist.com adresindeki raporda daha fazla bilgi bulabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
