Apple sistemleri şu anda giderek daha sık saldırıya uğruyor: Coruna istismar kiti ve GitHub'da ortaya çıkan ve suçlular için şablon görevi görebilecek DarkSword kötü amaçlı yazılımının ardından, macOS bilgi hırsızı GhostClaw şu anda sahte depolarda ve npm aracılığıyla dolaşıyor. OpenClaw AI aracısındaki mevcut patlamadan yararlanmaya çalışıyor ve terminal hakkında çok az bilgiye sahip olan ve kurulumu mümkün kılan komutları yazan kullanıcılarla tanışmayı umuyor. OpenClaw araçlarını arayan geliştiriciler de bu tuzağa düşebilir.
Duyurudan sonra devamını okuyun
Açık kaynaklı yazılımla “Rug Pull”
Diğerlerinin yanı sıra Jamf Threat Labs'ın da keşfettiği gibi GhostClaw, geliştirmenin yapay zeka tarafından giderek daha fazla desteklenmesi gerçeğinden de yararlanıyor. Kampanya görünüşe göre Mart başından beri sürüyor ve GhostClaw bazen GhostLoader olarak da anılıyor. Ana kurulum yolu başlangıçta Node.js npm paket yöneticisiydi. Artık Jamf Threat Labs, dağıtım için de kullanılan birkaç GitHub deposu buldu. En az sekiz yeni GhostClaw şampiyonu keşfedildi.
Sorun: Hem npm paketleri hem de GitHub'daki materyaller, zararsız yazılım gibi görünüyor veya SDK'lar, geliştirme araçları ve kripto para alışverişi için sözde ticaret botları dahil olmak üzere iyi bilinen ürünleri kopyalıyor gibi görünüyor. Jamf Threat Labs'a göre bu bir çeşit halı: zararsız veya çalışmayan kod başlangıçta aktif kalıyor, ancak birkaç hafta sonra kötü amaçlı yazılım bileşenleri tarafından değiştiriliyor veya entegre ediliyor. Görünüşe göre bu yaklaşım güveni yanıltmaya yöneliktir.
Kötü amaçlı yazılım yükleme talimatları
Anti-yerçekimi paketi de dahil olmak üzere, keşfedilen GhostClaw depolarından bazıları, yeni başlayanlara bile kötü amaçlı yazılımın nasıl kurulacağını ve şifre girmeyi öğreten bir README belgesi bile içeriyor. Kötü amaçlı kod OpenClaw aracılığıyla da kurulabilir ve AI aracısı SKILL sistemini kötüye kullanır. GhostClaw ayrıca macOS'a da uyarlanmıştır ve ilk bakışta orijinal gibi görünen ve sizi onaylamaya zorlayan diyaloglar oluşturmak için Osascript komutunu kullanır. Jamf Threat Labs, analizinde çeşitli tehlike göstergelerinden, yani bir enfeksiyonu tespit etmek için kullanılabilecek dosyalardan bahsediyor.
GhostClaw/GhostLoader, diğer şeylerin yanı sıra şifreleri çalar, kripto cüzdanlarıyla ilgilenir ve Mac'inizin SSD'sine tam erişim ister. Sonuçta her şey mümkün. Uzaktan komut ve kontrol sunucusu da adresleniyor; bu, saldırganların Mac'i uzaktan da kontrol edebileceği anlamına geliyor. Kullanıcılar, npm aracılığıyla Mac'lerinde hangi depoları yüklediklerine veya eriştiklerine çok dikkat etmelidir. Jfrog Güvenlik Araştırması, GhostClaw'ın yaklaşımı hakkında npm aracılığıyla bilgi topladı.
Duyurudan sonra devamını okuyun
(bsc)
Bir yanıt yazın