Kaspersky Global Araştırma ve Tahlil Grubu güvenlik araştırmacısı Leonid Bezvershenko, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife isimli makûs niyetli bir kampanya belirlediklerini söyledi. Bezvershenko, kampanya ile kurbanlardan Discord jetonları ve kredi kartı bilgileri de dahil olmak üzere çeşitli bilgileri toplamak ve vakit içinde casusluk yapmak için Volt Stealer ve Lofy Stealer makûs maksatlı yazılımlarını açık kaynaklı npm deposuna yayan dört başka makûs maksatlı paket kullandığını belirtti.
Npm deposu, ön uçtaki web uygulamalarında, taşınabilir uygulamalarda, robotlarda ve yönlendiricilerde yaygın olarak kullanılan ve JavaScript topluluğunun sayısız gereksinimini karşılamak için kullanılan açık kaynak kod paketlerinin halka açık bir koleksiyonundan oluşuyor.
GÖRÜNDÜĞÜ ÜZERE DEĞİL
Tanımlanan makus emelli depolar, başlıkları biçimlendirme yahut belli oyun fonksiyonları üzere sıradan misyonlar için kullanılan paketler üzere görünüyor. Lakin bunlar temelinde hayli karmaşık makûs maksatlı JavaScript ve Python kodları içeriyor. Bu da depoya yüklenirken tahlil edilmelerini zorlaştırıyor. Berbat maksatlı yük, Python’da yazılmış Volt Stealer isimli berbat maksatlı yazılımdan ve çok sayıda özelliğe sahip Lofy Stealer isimli JavaScript berbat maksatlı yazılımından oluşuyor.
AJAN ÜZERE SİZİ İZLEYEREK BİLGİLERİNİZİ AKTARIYORLAR
Volt Stealer, Discord jetonlarını etkilenen makinelerden kurbanın IP adresiyle birlikte çalmak ve HTTP aracılığıyla yüklemek için kullanıldı. Saldırganların yeni bir geliştirmesi olan Lofy Stealer, Discord istemci evraklarına bulaşabiliyor ve kurbanın aksiyonlarını izleyebiliyor. Bir kullanıcının ne vakit oturum açtığını, e-posta yahut şifre detaylarını değiştirdiğini, çok faktörlü kimlik doğrulamasını etkinleştirdiğini yahut devre dışı bıraktığını, yeni ödeme teknikleri ekleyip eklemediğini, tüm kredi kartı bilgilerini ve daha fazlasını görebiliyor. Toplanan bu bilgiler uzak uç noktaya yükleniyor.
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Tahlil Grubu güvenlik araştırmacısı Leonid Bezvershenko, “Geliştiriciler büyük ölçüde açık kaynak kod depolarına güveniyorlar ve bunları BT tahlili geliştirmelerini daha süratli ve daha verimli hale getirmek için kullanıyorlar. Bu yapı bir bütün olarak BT sanayisinin gelişimine kıymetli ölçüde katkıda bulunuyor. Lakin LofyLife kampanyasının gösterdiği üzere, saygın depolara bile varsayılan olarak güvenmemek gerekir. Geliştiricilerin eserlerine enjekte ettiği açık kaynak kodu dahil olmak üzere tüm kodlar kendi sorumluluğundadır. Bu makus gayeli yazılımın tespitlerini eserlerimize ekledik. Böylelikle çözümlerimize güvenen kullanıcılarımız berbat hedefli yazılımın kendilerine bulaşıp bulaşmadığını belirleyebilecek ve varsa temizleyebilecekler” tabirlerini kullandı.