Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) uzmanları, Quasar arka kapısını ve kripto para birimi sızdırmak için tasarlanmış bir hırsızı indirmek üzere kullanılan açık kaynaklı paketler keşfetti. Söz konusu paketler, yapay zeka destekli kodlama için kullanılan bir araç olan Visual Studio Code’u temel alan Cursor AI geliştirme ortamı için tasarlanmış.
Kötü amaçlı açık kaynak paketleri, Open VSX deposunda barındırılan ve Solidity programlama dili için destek sağladığını iddia eden uzantılardan oluşuyor. Ancak indirildiklerinde kullanıcıların cihazlarına kötü amaçlı kod indirip çalıştırıyorlar.
Yaşanan bir siber olaya müdahale sırasında Rusya’daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar değerinde kripto varlık çalmasına izin veren bu sahte uzantılardan birini bilgisayarına yüklendiğini görmesinin ardından Kaspersky’e ulaştı.
Bu paketlerin arkasındaki tehdit aktörü, kötü niyetli paketin meşru paketten daha üst sıralarda yer almasını sağlayarak geliştiriciyi kandırmayı başarıyor. Saldırgan, bunu kötü amaçlı paketin indirilme sayısını yapay olarak 54 bine çıkararak başarmış.
“Solidity” sorgusu için arama sonuçları: Kötü amaçlı uzantı (kırmızı ile vurgulanmış) ve yasal uzantı (yeşil ile vurgulanmış).
Kurulumdan sonra uzantı gerçek bir işlevsellik ortaya koymuyor. Bunun yerine bilgisayara kötü amaçlı ScreenConnect yazılımını yüklüyor ve tehdit aktörlerine virüslü cihaza uzaktan erişim izni veriyor. Bu erişimi kullanarak tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından veri toplayan bir hırsızla birlikte açık kaynaklı Quasar arka kapısını konuşlandırılıyor. Bu araçlarla tehdit aktörleri, geliştiricinin cüzdan tohum cümlelerini elde etti ve hesabındaki kripto paraları çaldı.
Geliştirici tarafından indirilen kötü amaçlı uzantı keşfedilip depodan kaldırıldıktan sonra, tehdit aktörü bunu yeniden yayınladı ve yasal paket için 61 bin olan yükleme sayısını yapay olarak 2 milyon gibi daha yüksek bir sayıya çıkardı. Kaspersky’den gelen talep üzerine uzantı platformdan kaldırıldı.
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “Güvenliği ihlal edilmiş açık kaynak paketlerini çıplak gözle tespit etmek giderek zorlaşıyor. Tehdit aktörleri, potansiyel kurbanları, hatta siber güvenlik riskleri konusunda güçlü bir anlayışa sahip olan geliştiricileri, özellikle de blok zinciri geliştirme alanında çalışanları kandırmak için giderek daha yaratıcı taktikler kullanıyor. Saldırganların geliştiricileri hedef almaya devam etmesini beklediğimizden, deneyimli BT uzmanlarının bile hassas verileri korumak ve mali kayıpları önlemek için özel güvenlik çözümleri kullanmalarını öneriyoruz.”
Saldırının arkasındaki tehdit aktörü yalnızca kötü amaçlı Solidity uzantılarını değil, aynı zamanda ScreenConnect’i de indiren solsafe adlı başka bir NPM paketini de yayınladı. Birkaç ay önce, solaibot, among-eth ve blankebesxstnion olmak üzere üç kötü amaçlı Visual Studio Code uzantısı daha yayınlanmıştı. Bunların hepsi şu an depodan kaldırılmış durumda.
Kaspersky güvende kalmak için şunları öneriyor:
- İçeride gizlenmiş olabilecek tehditleri tespit etmek için kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir çözüm kullanın.
- Bir tehdit aktörünün şirketinizin altyapısına erişim kazanmış olabileceğinden şüpheleniyorsanız, geçmiş veya devam eden saldırıları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz.
- Paketleri ve bakımlarını doğrulayın. Paketin arkasındaki bakımcının veya kuruluşun güvenilirliğini kontrol edin. Tutarlı sürüm geçmişine, sağlanan belgelere ve aktif sorun izleyicilere bakın.
- Ortaya çıkan tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, o kadar hızlı yanıt verebilirsiniz.
Securelist.com adresindeki raporda daha fazla bilgi bulabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
