Kaspersky Global Araştırma ve Tahlil Takımı güvenlik araştırmacısı Leonid Bezvershenko, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife isimli makus niyetli bir kampanya belirlediklerini söyledi. Bezvershenko, kampanya ile kurbanlardan Discord jetonları ve kredi kartı bilgileri de dahil olmak üzere çeşitli bilgileri toplamak ve vakit içinde casusluk yapmak için Volt Stealer ve Lofy Stealer makûs hedefli yazılımlarını açık kaynaklı npm deposuna yayan dört başka makûs gayeli paket kullandığını belirtti.
Npm deposu, ön uçtaki web uygulamalarında, taşınabilir uygulamalarda, robotlarda ve yönlendiricilerde yaygın olarak kullanılan ve JavaScript topluluğunun sayısız muhtaçlığını karşılamak için kullanılan açık kaynak kod paketlerinin halka açık bir koleksiyonundan oluşuyor.
GÖRÜNDÜĞÜ ÜZERE DEĞİL
Tanımlanan makûs maksatlı depolar, başlıkları biçimlendirme yahut belli oyun fonksiyonları üzere sıradan misyonlar için kullanılan paketler üzere görünüyor. Fakat bunlar temelinde epey karmaşık makus maksatlı JavaScript ve Python kodları içeriyor. Bu da depoya yüklenirken tahlil edilmelerini zorlaştırıyor. Makûs emelli yük, Python’da yazılmış Volt Stealer isimli makus hedefli yazılımdan ve çok sayıda özelliğe sahip Lofy Stealer isimli JavaScript makûs gayeli yazılımından oluşuyor.
AJAN ÜZERE SİZİ İZLEYEREK BİLGİLERİNİZİ AKTARIYORLAR
Volt Stealer, Discord jetonlarını etkilenen makinelerden kurbanın IP adresiyle birlikte çalmak ve HTTP aracılığıyla yüklemek için kullanıldı. Saldırganların yeni bir geliştirmesi olan Lofy Stealer, Discord istemci belgelerine bulaşabiliyor ve kurbanın aksiyonlarını izleyebiliyor. Bir kullanıcının ne vakit oturum açtığını, e-posta yahut şifre detaylarını değiştirdiğini, çok faktörlü kimlik doğrulamasını etkinleştirdiğini yahut devre dışı bıraktığını, yeni ödeme formülleri ekleyip eklemediğini, tüm kredi kartı bilgilerini ve daha fazlasını görebiliyor. Toplanan bu bilgiler uzak uç noktaya yükleniyor.
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Tahlil Takımı güvenlik araştırmacısı Leonid Bezvershenko, “Geliştiriciler büyük ölçüde açık kaynak kod depolarına güveniyorlar ve bunları BT tahlili geliştirmelerini daha süratli ve daha verimli hale getirmek için kullanıyorlar. Bu yapı bir bütün olarak BT sanayisinin gelişimine değerli ölçüde katkıda bulunuyor. Lakin LofyLife kampanyasının gösterdiği üzere, saygın depolara bile varsayılan olarak güvenmemek gerekir. Geliştiricilerin eserlerine enjekte ettiği açık kaynak kodu dahil olmak üzere tüm kodlar kendi sorumluluğundadır. Bu makûs emelli yazılımın tespitlerini eserlerimize ekledik. Böylelikle çözümlerimize güvenen kullanıcılarımız makûs maksatlı yazılımın kendilerine bulaşıp bulaşmadığını belirleyebilecek ve varsa temizleyebilecekler” tabirlerini kullandı.