İSTANBUL (AA) - Kaspersky, kötü amaçlı paketler aracılığıyla yapılan 500 bin dolarlık kripto soygununu ortaya çıkardı.
Şirketten yapılan açıklamaya göre, Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) uzmanları, Quasar arka kapısını ve kripto para birimi sızdırmak için tasarlanmış bir hırsızı indirmek üzere kullanılan açık kaynaklı paketler keşfetti.
Kötü amaçlı açık kaynak paketleri, Open VSX deposunda barındırılan ve Solidity programlama dili için destek sağladığını iddia eden uzantılardan oluşuyor ancak indirildiklerinde kullanıcıların cihazlarına kötü amaçlı kod indirip çalıştırıyor.
Yaşanan bir siber olaya müdahale sırasında Rusya'daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar değerinde kripto varlık çalmasına izin veren sahte uzantılardan birinin bilgisayarına yüklendiğini görmesinin ardından Kaspersky'e ulaştı.
Paketlerin arkasındaki tehdit aktörü, kötü niyetli paketin meşru paketten daha üst sıralarda yer almasını sağlayarak geliştiriciyi kandırmayı başarırken, saldırgan, kötü amaçlı paketin indirilme sayısını yapay olarak 54 bine çıkardı.
Kurulumdan sonra gerçek bir işlevsellik ortaya koymayan uzantı, bilgisayara ScreenConnect yazılımını yüklüyor ve tehdit aktörlerine virüslü cihaza uzaktan erişim izni veriyor.
Erişimi kullanarak tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından veri toplayan bir hırsızla birlikte açık kaynaklı Quasar arka kapısını konuşlandırılıyor. Bu araçlarla tehdit aktörleri, geliştiricinin cüzdan tohum cümlelerini elde etti ve hesabındaki kripto paraları çaldı.
Geliştirici tarafından indirilen kötü amaçlı uzantı keşfedilip depodan kaldırıldıktan sonra tehdit aktörü, bunu yeniden yayınladı ve yasal paket için 61 bin olan yükleme sayısını yapay olarak 2 milyona çıkardı. Kaspersky'den gelen talep üzerine uzantı platformdan kaldırıldı.
Kaspersky, içeride gizlenmiş olabilecek tehditleri tespit etmek amacıyla kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir çözüm kullanılmasını önerirken, şu tavsiyelerde bulundu:
"Bir tehdit aktörünün şirketinizin altyapısına erişim kazanmış olabileceğinden şüpheleniyorsanız, geçmiş veya devam eden saldırıları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz. Paketleri ve bakımlarını doğrulayın. Paketin arkasındaki bakımcının veya kuruluşun güvenilirliğini kontrol edin. Tutarlı sürüm geçmişine, sağlanan belgelere ve aktif sorun izleyicilere bakın. Ortaya çıkan tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, o kadar hızlı yanıt verebilirsiniz."
- "Çıplak gözle tespit etmek giderek zorlaştı"
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, güvenliği ihlal edilmiş açık kaynak paketlerini çıplak gözle tespit etmenin giderek zorlaştığını belirtti.
Tehdit aktörlerinin, potansiyel kurbanları, hatta siber güvenlik riskleri konusunda güçlü bir anlayışa sahip olan geliştiricileri, özellikle de blok zinciri geliştirme alanında çalışanları kandırmak için giderek daha yaratıcı taktikler kullandığını aktaran Kucherin, "Saldırganların geliştiricileri hedef almaya devam etmesini beklediğimizden, deneyimli BT uzmanlarının bile hassas verileri korumak ve mali kayıpları önlemek için özel güvenlik çözümleri kullanmalarını öneriyoruz." ifadelerini kullandı.