Kaspersky, makus gayeli paketler aracılığıyla yapılan 500 bin dolarlık kripto soygununu ortaya çıkardı

Kaspersky GReAT (Global Araştırma ve Tahlil Ekibi) uzmanları, Quasar art kapısını ve kripto para ünitesi sızdırmak için tasarlanmış bir hırsızı indirmek üzere kullanılan açık kaynaklı paketler keşfetti. Kelam konusu paketler, yapay zeka dayanaklı kodlama için kullanılan bir araç olan Visual Studio Code’u temel alan Cursor AI geliştirme ortamı için tasarlanmış.

Kötü maksatlı açık kaynak paketleri, Open VSX deposunda barındırılan ve Solidity programlama lisanı için takviye sağladığını tez eden uzantılardan oluşuyor. Lakin indirildiklerinde kullanıcıların aygıtlarına makûs hedefli kod indirip çalıştırıyorlar.

Yaşanan bir siber olaya müdahale sırasında Rusya’daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar bedelinde kripto varlık çalmasına müsaade veren bu düzmece uzantılardan birini bilgisayarına yüklendiğini görmesinin akabinde Kaspersky’e ulaştı.

Bu paketlerin ardındaki tehdit aktörü, makus niyetli paketin legal paketten daha üst sıralarda yer almasını sağlayarak geliştiriciyi kandırmayı başarıyor. Saldırgan, bunu berbat hedefli paketin indirilme sayısını yapay olarak 54 bine çıkararak başarmış.

“Solidity” sorgusu için arama sonuçları: Berbat hedefli uzantı (kırmızı ile vurgulanmış) ve yasal uzantı (yeşil ile vurgulanmış).

Kurulumdan sonra uzantı gerçek bir fonksiyonellik ortaya koymuyor. Bunun yerine bilgisayara makus emelli ScreenConnect yazılımını yüklüyor ve tehdit aktörlerine virüslü aygıta uzaktan erişim müsaadesi veriyor. Bu erişimi kullanarak tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından data toplayan bir hırsızla birlikte açık kaynaklı Quasar art kapısını konuşlandırılıyor. Bu araçlarla tehdit aktörleri, geliştiricinin cüzdan tohum cümlelerini elde etti ve hesabındaki kripto paraları çaldı.

Geliştirici tarafından indirilen makus emelli uzantı keşfedilip depodan kaldırıldıktan sonra, tehdit aktörü bunu yine yayınladı ve yasal paket için 61 bin olan yükleme sayısını yapay olarak 2 milyon üzere daha yüksek bir sayıya çıkardı. Kaspersky’den gelen talep üzerine uzantı platformdan kaldırıldı.

Kaspersky Küresel Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “Güvenliği ihlal edilmiş açık kaynak paketlerini çıplak gözle tespit etmek giderek zorlaşıyor. Tehdit aktörleri, potansiyel kurbanları, hatta siber güvenlik riskleri konusunda güçlü bir anlayışa sahip olan geliştiricileri, bilhassa de blok zinciri geliştirme alanında çalışanları kandırmak için giderek daha yaratıcı taktikler kullanıyor. Saldırganların geliştiricileri gaye almaya devam etmesini beklediğimizden, tecrübeli BT uzmanlarının bile hassas bilgileri korumak ve mali kayıpları önlemek için özel güvenlik tahlilleri kullanmalarını öneriyoruz.”

Saldırının gerisindeki tehdit aktörü sadece berbat emelli Solidity uzantılarını değil, tıpkı vakitte ScreenConnect’i de indiren solsafe isimli öteki bir NPM paketini de yayınladı. Birkaç ay evvel, solaibot, among-eth ve blankebesxstnion olmak üzere üç makûs gayeli Visual Studio Code uzantısı daha yayınlanmıştı. Bunların hepsi şu an depodan kaldırılmış durumda.

Kaspersky inançta kalmak için şunları öneriyor:

• İçeride gizlenmiş olabilecek tehditleri tespit etmek için kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir çözüm kullanın.
• Bir tehdit aktörünün şirketinizin altyapısına erişim kazanmış olabileceğinden şüpheleniyorsanız, geçmiş yahut devam eden akınları ortaya çıkarmak için  Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz.
• Paketleri ve bakımlarını doğrulayın. Paketin gerisindeki bakımcının yahut kuruluşun güvenilirliğini denetim edin. Dengeli sürüm geçmişine, sağlanan evraklara ve faal sorun izleyicilere bakın.
• Ortaya çıkan tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, o kadar süratli cevap verebilirsiniz.

Securelist.com adresindeki raporda daha fazla bilgi bulabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı