Kaspersky, makus maksatlı paketler aracılığıyla yapılan 500 bin dolarlık kripto soygununu ortaya çıkardı
Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) uzmanları, Quasar art kapısını ve kripto para ünitesi sızdırmak için tasarlanmış bir hırsızı indirmek üzere kullanılan açık kaynaklı paketler keşfetti. Kelam konusu paketler, yapay zeka takviyeli kodlama için kullanılan bir araç olan Visual Studio Code'u temel alan Cursor AI geliştirme ortamı için tasarlanmış.Kötü gayeli açık kaynak paketleri, Open VSX deposunda barındırılan ve Solidity programlama lisanı için dayanak sağladığını argüman eden uzantılardan oluşuyor. Lakin indirildiklerinde kullanıcıların aygıtlarına makûs hedefli kod indirip çalıştırıyorlar.Yaşanan bir siber olaya müdahale sırasında Rusya'daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar kıymetinde kripto varlık çalmasına müsaade veren bu düzmece uzantılardan birini bilgisayarına yüklendiğini görmesinin akabinde Kaspersky'e ulaştı.Bu paketlerin ardındaki tehdit aktörü, makûs niyetli paketin yasal paketten daha üst sıralarda yer almasını sağlayarak geliştiriciyi kandırmayı başarıyor. Saldırgan, bunu makus hedefli paketin indirilme sayısını yapay olarak 54 bine çıkararak başarmış."Solidity" sorgusu için arama sonuçları: Makus maksatlı uzantı (kırmızı ile vurgulanmış) ve yasal uzantı (yeşil ile vurgulanmış).Kurulumdan sonra uzantı gerçek bir fonksiyonellik ortaya koymuyor. Bunun yerine bilgisayara berbat maksatlı ScreenConnect yazılımını yüklüyor ve tehdit aktörlerine virüslü aygıta uzaktan erişim müsaadesi veriyor. Bu erişimi kullanarak tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından data toplayan bir hırsızla birlikte açık kaynaklı Quasar art kapısını konuşlandırılıyor. Bu araçlarla tehdit aktörleri, geliştiricinin cüzdan tohum cümlelerini elde etti ve hesabındaki kripto paraları çaldı.Geliştirici tarafından indirilen makûs hedefli uzantı keşfedilip depodan kaldırıldıktan sonra, tehdit aktörü bunu tekrar yayınladı ve yasal paket için 61 bin olan yükleme sayısını yapay olarak 2 milyon üzere daha yüksek bir sayıya çıkardı. Kaspersky'den gelen talep üzerine uzantı platformdan kaldırıldı.Kaspersky Küresel Araştırma ve Tahlil Takımı Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: "Güvenliği ihlal edilmiş açık kaynak paketlerini çıplak gözle tespit etmek giderek zorlaşıyor. Tehdit aktörleri, potansiyel kurbanları, hatta siber güvenlik riskleri konusunda güçlü bir anlayışa sahip olan geliştiricileri, bilhassa de blok zinciri geliştirme alanında çalışanları kandırmak için giderek daha yaratıcı taktikler kullanıyor. Saldırganların geliştiricileri maksat almaya devam etmesini beklediğimizden, tecrübeli BT uzmanlarının bile hassas dataları korumak ve mali kayıpları önlemek için özel güvenlik tahlilleri kullanmalarını öneriyoruz."Saldırının ardındaki tehdit aktörü sırf makûs hedefli Solidity uzantılarını değil, birebir vakitte ScreenConnect'i de indiren solsafe isimli öbür bir NPM paketini de yayınladı. Birkaç ay evvel, solaibot, among-eth ve blankebesxstnion olmak üzere üç makus maksatlı Visual Studio Code uzantısı daha yayınlanmıştı. Bunların hepsi şu an depodan kaldırılmış durumda.Kaspersky inançta kalmak için şunları öneriyor:
- İçeride gizlenmiş olabilecek tehditleri tespit etmek için kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir çözüm kullanın.
- Bir tehdit aktörünün şirketinizin altyapısına erişim kazanmış olabileceğinden şüpheleniyorsanız, geçmiş yahut devam eden akınları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz.
- Paketleri ve bakımlarını doğrulayın. Paketin gerisindeki bakımcının yahut kuruluşun güvenilirliğini denetim edin. Dengeli sürüm geçmişine, sağlanan dokümanlara ve faal sorun izleyicilere bakın.
- Ortaya çıkan tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, o kadar süratli cevap verebilirsiniz.