Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriEn son depo saldırısında açığa çıkan 10 kötü amaçlı Python paketi

En son depo saldırısında açığa çıkan 10 kötü amaçlı Python paketi

En son PyPi keşfi gibi tedarik zinciri saldırıları, geliştiriciler tarafından kullanılan işlevsel görünen yazılım paketlerine kötü amaçlı kod ekler.  Giderek daha yaygın hale geliyorlar.
büyüt / En son PyPi keşfi gibi tedarik zinciri saldırıları, geliştiriciler tarafından kullanılan işlevsel görünen yazılım paketlerine kötü amaçlı kod ekler. Giderek daha yaygın hale geliyorlar.

Getty Resimleri

Araştırmacılar, Python programları ve kod kitaplıkları için resmi ve en popüler depo olan PyPi’de bir dizi kötü amaçlı paket daha keşfettiler. Görünüşe göre tanıdık paketler tarafından kandırılanlar, kötü amaçlı yazılım indirmelerine veya kullanıcı kimlik bilgilerinin ve şifrelerinin çalınmasına maruz kalabilir.

Bulgularını Pazartesi günü bildiren Check Point Research, 10 paketi kaç kişinin indirdiğini bilmediğini ancak PyPi’nin 613.000 aktif kullanıcısı olduğunu ve kodunun 390.000’den fazla projede kullanıldığını kaydetti. PyPi’den yükleme pip komut, birçok Python projesini başlatmak veya kurmak için temel bir adımdır. Python proje indirmelerini tahmin eden bir site olan PePy, kötü amaçlı paketlerin çoğunun yüzlerce indirme gördüğünü öne sürüyor.

Bu tür tedarik zinciri saldırıları, özellikle dünya yazılımlarının geniş bir bölümünü destekleyen açık kaynaklı yazılım havuzları arasında giderek daha yaygın hale geliyor. Python’un deposu, araştırmacıların Eylül 2017’de kötü amaçlı paketler bulmasıyla sıkça hedeflenen bir hedeftir; Haziran, Temmuz ve Kasım 2021; ve bu yılın Haziran ayı. Ancak 2020’de RubyGems’te, Aralık 2021’de NPM’de ve daha birçok açık kaynak deposunda hile paketleri de bulundu.

En önemlisi, Rus bilgisayar korsanları tarafından SolarWinds iş yazılımı aracılığıyla özel kaynaklı bir tedarik zinciri saldırısı kayda değer bir hasara yol açtı ve 100’den fazla şirketin ve Ulusal Nükleer Güvenlik İdaresi, Ulusal Gelir İdaresi dahil en az dokuz ABD federal kurumunun bulaşmasına neden oldu. Hizmet, Dışişleri Bakanlığı ve İç Güvenlik Bakanlığı.

Sahte, kötü amaçlı paketlerin giderek yaygınlaşan keşfi, depoları harekete geçirmektir. Daha dün, JavaScript paketleri için NPM deposunun sahibi GitHub, paket geliştiricilerin paketlerini imzalamaları ve doğrulamaları için bir katılım sistemi sunma konusunda bir yorum talebi açtı. NPM geliştiricileri, sayısız açık kaynak ve endüstri grubu arasında bir işbirliği olan Sigstore’u kullanarak, paketler üzerinde imza atabilir ve içlerindeki kodun orijinal depolarıyla eşleştiğinin sinyalini verebilir.

İndirdiğiniz paketin ihtiyacınız olan kodla ilgili olduğuna dair net bir göstergeye sahip olmak, belki de tamamen olmasa da, insanların en son keşfedilen PyPi kötü aktörlerinden kaçınmasına yardımcı olmuş olabilir. “Ascii2text”, ASCII sanat kitaplığı “art”ın hemen hemen her yönünü, sürüm ayrıntıları eksi olarak doğrudan kopyaladı. Belki de yaklaşık 1000 indiriciye, açıklayıcı adı “sanat”tan daha tanımlanmış bir amaç önermiş olabilir.

Ascii2text’i yüklemek, kötü amaçlı bir komut dosyasının indirilmesini tetikledi ve ardından Opera, Chrome ve diğer tarayıcıların yerel depolamasında belirteçler, şifreler veya çerezler ile belirli kripto cüzdanlarını aradı ve bunları bir Discord sunucusuna gönderdi.

Check Point Software tarafından keşfedildiği gibi, yanıltıcı asciii2text Python paketinin içindeki kötü amaçlı komut dosyası.
büyüt / Check Point Software tarafından keşfedildiği gibi, yanıltıcı asciii2text Python paketinin içindeki kötü amaçlı komut dosyası.

Check Point tarafından keşfedilen diğer paketler, AWS’yi ve diğer kimlik bilgilerini ve ortam değişkenlerini hedef aldı. Bildirilen ve o zamandan beri kaldırılan PyPi paketlerinin listesi:

  • ascii2text
  • pyg-utils
  • pempeler
  • PyProto2
  • test-async
  • ücretsiz net-vpn
  • ücretsiz-net-vpn2
  • zlibsrc
  • tarayıcıdiv
  • WINRPCexploit
RELATED ARTICLES

Popüler Konular