Sinsi Npm Malware, Popüler Ethereum Kütüphanesine Arkadan Giriş Yapıyor

Image by AltumCode, from Unsplash

Sinsi Npm Malware, Popüler Ethereum Kütüphanesine Arkadan Giriş Yapıyor

Okuma süresi: 2 dk.

tarihinde gönderildi Mar 31, 2025

ReversingLabs‘daki güvenlik araştırmacıları, npm paket deposunu hedef alan karmaşık bir zararlı yazılım kampanyası keşfettiler.

Acelesi olanlar için hızlı bilgiler:

  • Kötü niyetli npm paketleri ethers-provider2 ve ethers-providerz, enfekte olmuş sistemlerde bir arka kapı oluşturur.
  • Yazılım, çok aşamalı saldırılar kullanır, ethers’ı gizli bir ters kabuk eklemek üzere modifiye eder.
  • Saldırganlar, paketin kaldırılmasının ardından bile enfeksiyonun sürdürülmesini sağlamak için loader.js oluşturarak devamlılık sağlarlar.

Kötü amaçlı paketler olan ethers-provider2 ve ethers-providerz, yaygın olarak kullanılan bir npm paketi olan ethers’i gizlice değiştirerek enfekte sistemlerde bir arka kapı oluşturur. Bu zararlı yazılım, işlev görmek için karmaşık çok aşamalı saldırıları kullanması nedeniyle standart npm zararlı yazılımlarından farklıdır.

Bu paketler, araştırmacıların belirttiği gibi 350 milyondan fazla indirme alan SSH2 paketini çoğaltarak gerçek araçlar olarak sunuluyor. Zararlı yazılım, etherleri gizli bir ters kabuk özelliğini yerleştirecek şekilde dönüştüren daha zararlı bir kod çalarak kendini yükler.

ReversingLabs, Spectra platformunu kullanarak tehdidi tespit etti. Enfeksiyon süreci, ethers-provider2’nin yüklenmesiyle başlar. İndirilen script, tespitini önlemek için uygulandıktan sonra kendini silen ikinci aşama bir zararlı yazılım dosyasını çalıştırır.

Yazılım kötü niyetli yazılım, paketi algılayana kadar ethers’ın varlığını kontrol eder ve ardından provider-jsonrpc.js’yi, gizli kötü niyetli kod içeren sahte bir sürümle değiştirir.

Saldırı burada durmaz. Kötü amaçlı yazılım, ethers-provider2’nin kaldırılmasının ardından enfeksiyonu aktif tutan loader.js adında başka bir dosya oluşturur.

Saldırganlar, saldırılarının üçüncü aşamasında ters kabuk bağlantısı kurarlar, bu da hackerların kompromize olmuş SSH istemcileri aracılığıyla komutları uzaktan çalıştırmalarını sağlar. ReversingLabs, bu yaklaşımı, ek araştırma gerektiren ileri tehdit aktör yeteneklerinin bir kanıtı olarak nitelendirdi.

Araştırmacılar, kodlamasında çok sayıda hata içerdiği için ethers-providerz’ı potansiyel bir test versiyonu olarak belirledi, ancak ilk zararlı paketle aynı deseni izledi.

Güvenlik uzmanları, ethers-providerz’nin ortadan kaldırılmasına rağmen, ethers-provider2’nin raporlama sırasında npm’de erişilebilir olduğunu keşfetti.

Güvenlik uzmanlarına göre, geliştiricilerin, yalnızca güvenilir npm paketlerini kullanırken sistemlerinde enfeksiyon belirtileri olup olmadığını kontrol etmeleri gerekiyor.

Bu makaleyi beğendiniz mi?
Puan verin!
Hiç sevmedim Pek beğenmedim Fena değildi Gayet iyiydi! Bayıldım!

Çalışmamızı beğenmeniz bizi çok mutlu etti!

Değerli bir okuyucumuz olarak Trustpilot sitesinde bizi puanlamak ister miydiniz? Bu hemen halledilebilen bir işlemdir ve emin olun ki görüşünüz bizim için çok kıymetlidir. Desteğiniz için ne kadar teşekkür etsek az!

Trustpilot'ta bize puan ver
0 0 kullanıcı tarafından oy verildi
Başlık
Yorum
Geri bildiriminiz için teşekkür ederiz
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Yorum bırakın

Loader
Loader Devamını oku...