Dört Kötü Amaçlı npm Paketi SSH Anahtarlarını, Bulut Kimlik Bilgilerini ve Kripto Cüzdanlarını Çaldı

SSH anahtarlarını, bulut kimlik bilgilerini, kripto para cüzdanlarını ve ortam değişkenlerini çalabilen dört kötü amaçlı npm paketi, bir varyant ise virüslü makineleri sessizce bir DDoS botnetine dönüştürür. Kampanya, Axios kullanıcılarını hedef alan koordineli bir yazım hatası operasyonu aracılığıyla aynı anda birden fazla infostealer varyantını dağıtan tek bir tehdit aktörünün çalışması gibi görünüyor. Dört paket tebeşir şablonu, @ deadcode09284814/axios – util, axios – utils ve color – style – utils son 24 saat içinde tespit edilmiştir. Her paketin tüm sürümleri kötü amaçlı olarak kabul edilir. Toplamda, işaretlenmeden önce yaklaşık 2.678 haftalık indirme topladılar. Shai – Hulud Kaynak Kodu Silahlandırılmış

En endişe verici keşif, kaynak kodu daha geçen hafta TeamPCP grubu tarafından GitHub'a kamuya sızdırılan açık kaynaklı bir kötü amaçlı yazılım olan Shai – Hulud infostealer'ın neredeyse özdeş bir klonunu içeren tebeşir – tempalte. Tehdit aktörü, kendi C2 sunucu adresini (87e0bbc636999b [.]lhr[.]life) ve özel anahtarı gömerek kodu minimum değişiklikle kopyaladı, ardından çalışma paketini doğrudan npm'ye yükledi. Gizleme eksikliği, orijinal Shai – Hulud konuşlandırmalarının tam bir zıtlığı, bunun TeamPCP'nin kendisinden ziyade taklitçi bir aktör olduğunu doğruluyor. Araştırmacılar, saldırının TeamPCP'nin sızıntısından kısa bir süre sonra BreachForums'ta yayınlanan bir tedarik zinciri saldırı yarışmasıyla uyumlu olduğunu ve açık kaynaklı sürümün aktif olarak yeni kampanyalara ilham verdiğini öne sürdü. Virüslü makineler, orijinal Shai – Hulud davranışını yansıtan çalınan kimlik bilgilerini yeni bir GitHub deposuna yükler.