Kaspersky araştırmacıları, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife isimli makus niyetli bir kampanya belirledi. Kampanya, kurbanlardan Discord jetonları ve kredi kartı bilgileri de dahil olmak üzere çeşitli bilgileri toplamak ve vakit içinde casusluk yapmak için Volt Stealer ve Lofy Stealer berbat maksatlı yazılımlarını açık kaynaklı npm deposuna yayan dört farklı makûs emelli paket kullandı.
Npm deposu, ön uçtaki web uygulamalarında, taşınabilir uygulamalarda, robotlarda ve yönlendiricilerde yaygın olarak kullanılan ve JavaScript topluluğunun sayısız gereksinimini karşılamak için kullanılan açık kaynak kod paketlerinin halka açık bir koleksiyonundan oluşuyor. Bu koleksiyonun popülaritesi LofyLife kampanyasını daha da tehlikeli hale getiriyor, zira potansiyel olarak etkilenebilecek kullanıcı sayısı epeyce yüksek.
Tanımlanan makûs hedefli depolar, başlıkları biçimlendirme yahut belli oyun fonksiyonları üzere sıradan vazifeler için kullanılan paketler üzere görünüyor. Lakin bunlar temelinde hayli karmaşık makus hedefli JavaScript ve Python kodları içeriyor. Bu da depoya yüklenirken tahlil edilmelerini zorlaştırıyor. Berbat maksatlı yük, Python’da yazılmış Volt Stealer isimli makus hedefli yazılımdan ve çok sayıda özelliğe sahip Lofy Stealer isimli JavaScript makus hedefli yazılımından oluşuyor.
Volt Stealer, Discord jetonlarını etkilenen makinelerden kurbanın IP adresiyle birlikte çalmak ve HTTP aracılığıyla yüklemek için kullanıldı. Saldırganların yeni bir geliştirmesi olan Lofy Stealer, Discord istemci belgelerine bulaşabiliyor ve kurbanın aksiyonlarını izleyebiliyor. Bir kullanıcının ne vakit oturum açtığını, e-posta yahut şifre detaylarını değiştirdiğini, çok faktörlü kimlik doğrulamasını etkinleştirdiğini yahut devre dışı bıraktığını, yeni ödeme prosedürleri ekleyip eklemediğini, tüm kredi kartı bilgilerini ve daha fazlasını görebiliyor. Toplanan bu bilgiler uzak uç noktaya yükleniyor.
Kaspersky Global Araştırma ve Tahlil Grubu güvenlik araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Geliştiriciler büyük ölçüde açık kaynak kod depolarına güveniyorlar ve bunları BT tahlili geliştirmelerini daha süratli ve daha verimli hale getirmek için kullanıyorlar. Bu yapı bir bütün olarak BT sanayisinin gelişimine değerli ölçüde katkıda bulunuyor. Lakin LofyLife kampanyasının gösterdiği üzere, saygın depolara bile varsayılan olarak güvenmemek gerekir. Geliştiricilerin eserlerine enjekte ettiği açık kaynak kodu dahil olmak üzere tüm kodlar kendi sorumluluğundadır. Bu makus emelli yazılımın tespitlerini eserlerimize ekledik. Böylelikle çözümlerimize güvenen kullanıcılarıkmız berbat gayeli yazılımın kendilerine bulaşıp bulaşmadığını belirleyebilecek ve varsa temizleyebilecekler.”
Kaspersky güvenlik eserleri, LofyLife makûs emelli yazılımını Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen olarak algılıyor. Ayrıntıları Securelist’te okuyabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı