Perşembe, Haziran 20, 2024
Ana SayfaTeknoloji HaberleriÇevrimiçi depoya gönderilen daha fazla kötü amaçlı paket. Bu sefer PyPI

Çevrimiçi depoya gönderilen daha fazla kötü amaçlı paket. Bu sefer PyPI

Birler ve sıfırlardan oluşan stilize bir kafatası ve çapraz kemikler.

Araştırmacılar, bir açık kaynak kod deposunu hedef alan başka bir tedarik zinciri saldırısını daha ortaya çıkardılar ve bu da, son birkaç yılda yaygın olarak kullanılan tekniğin yakın zamanda ortadan kalkmayacağını gösteriyor.

Bu sefer depo, Python programlama dili için resmi yazılım deposu olan Python Package Index’in kısaltması olan PyPI idi. Bu ayın başlarında, Lolip0p kullanıcı adına sahip bir katılımcı PyPI’ye üç paket yükledi: Colorslib, httpslib ve libhttps. Katkıda bulunan kişi, üçünü de meşru paketler, bu durumda bir terminal kullanıcı arabirimi ve iş parçacığı güvenli bağlantı havuzu oluşturmak için kitaplıklar olarak gizlemeye dikkat etti. Üç paketin de tam özellikli kullanılabilirlik sağladığı ilan edildi.

Meşru bir teklif gibi görünen kötü amaçlı PyPI paketinin ekran görüntüsü.
Büyüt / Meşru bir teklif gibi görünen kötü amaçlı PyPI paketinin ekran görüntüsü.

Güvenlik firması Fortinet’ten araştırmacılar, üç paketin de kötü amaçlı olduğunu ve bunlar için setup.py komut dosyasının aynı olduğunu söyledi. Dosyalar bir Powershell penceresi açtı ve keşif sırasında yalnızca üç kötü amaçlı yazılımdan koruma sağlayıcısı tarafından algılanan Oxzy.exe adlı kötü amaçlı bir dosyayı indirdi.

Algılama sayısını gösteren VirusTotal'dan alınan ekran görüntüsü.
Büyüt / Algılama sayısını gösteren VirusTotal’dan alınan ekran görüntüsü.

Tersine Çevirme Laboratuvarları

Oxzy.exe ise yalnızca yedi kötü amaçlı yazılımdan koruma motoru tarafından algılanan Update.exe adlı ikinci bir kötü amaçlı dosyayı indirdi.

Bırakılacak son dosya, dokuz motor tarafından algılanan SearchProtocolHost.exe olarak adlandırıldı.

Bu motorlardan biri Microsoft’un Defender’ıydı. Açıklama, Microsoft’un “PC’nizde kötü niyetli bir bilgisayar korsanının tercihine göre bir dizi eylemi gerçekleştirebileceğini” söylediği bir kötü amaçlı yazılım parçası olan Wacatac.b!ml idi. Trend Micro’dan yapılan bir analiz, Truva Atı’nın en az 2019’dan beri var olduğunu, yani internette bulunan korsan yazılımlar aracılığıyla yayıldığını gösterdi.

PyPI ve NPM gibi açık kaynak havuzları, meşru bir projenin kaynağında kötü amaçlı yazılım yayan tedarik zinciri saldırıları yoluyla kötü amaçlı yazılım yüklemek için vektörler olarak giderek daha fazla kullanılmaya başlandı. Güvenlik firması ReversingLabs’e göre, 2018’den 2021’e kadar bu tür saldırılar NPM’de neredeyse dört kat ve PyPI’de yaklaşık beş kat arttı. Geçen yılın Ocak-Ekim ayları arasında PyPI’ye 1.493 kötü amaçlı paket ve NPM’ye 6.977 kötü amaçlı paket yüklendi.

Geçen Eylül ayında, PyPI tedarik zinciri saldırıları arttı. Bir tehdit aktörü, PyPI’ye katkıda bulunanlara kimlik bilgilerine dayalı bir kimlik avı saldırısı başlattı ve başarılı olduğunda, güvenliği ihlal edilmiş hesaplara erişimi, hesapla ilişkili meşru projelerin en son sürümü gibi görünen kötü amaçlı yazılım yayınlamak için kullandı. Meşru projeler Exotel ve Spam’i içeriyordu. Tanınmış projelere benzer görünen adlar kullanan kötü amaçlı paketlerin aksine, bu saldırılar yıllarca kullanılan bir projenin resmi kaynağını zehirleyebildi. Saldırıların arkasındaki tehdit aktörü en az 2021’den beri var.

ReversingLabs araştırmacıları, en son saldırıları belgeleyen gönderide, “Python son kullanıcıları, özellikle yeni yazarlardan herhangi bir paketi indirmeden ve çalıştırmadan önce her zaman durum tespiti yapmalıdır.” “Görüldüğü gibi kısa sürede birden fazla paketin yayınlanması da bir yazarın güvenilir olduğunun göstergesi değildir.”

Aynı tavsiye NPM, RubyGems ve neredeyse diğer tüm açık kaynak depolarına uygulanmalıdır.

RELATED ARTICLES

Popüler Konular