Sun. Jan 29th, 2023

Araştırmacılar, bir açık kaynak kod deposunu hedef alan başka bir tedarik zinciri saldırısını daha ortaya çıkardılar ve bu da, son birkaç yılda yaygın olarak kullanılan tekniğin yakın zamanda ortadan kalkmayacağını gösteriyor.

Bu sefer depo, Python programlama dili için resmi yazılım deposu olan Python Package Index’in kısaltması olan PyPI idi. Bu ayın başlarında, Lolip0p kullanıcı adına sahip bir katılımcı PyPI’ye üç paket yükledi: Colorslib, httpslib ve libhttps. Katkıda bulunan kişi, üçünü de meşru paketler, bu durumda bir terminal kullanıcı arabirimi ve iş parçacığı güvenli bağlantı havuzu oluşturmak için kitaplıklar olarak gizlemeye dikkat etti. Üç paketin de tam özellikli kullanılabilirlik sağladığı ilan edildi.

Meşru bir teklif gibi görünen kötü amaçlı PyPI paketinin ekran görüntüsü.
Büyüt / Meşru bir teklif gibi görünen kötü amaçlı PyPI paketinin ekran görüntüsü.

Güvenlik firması Fortinet’ten araştırmacılar dedim üç paket de kötü amaçlıydı ve onlar için setup.py betiği aynıydı. Dosyalar bir Powershell penceresi açtı ve keşif sırasında yalnızca üç kötü amaçlı yazılımdan koruma sağlayıcısı tarafından tespit edilen Oxzy.exe adlı kötü amaçlı bir dosyayı indirdi.

Algılama sayısını gösteren VirusTotal'dan alınan ekran görüntüsü.
Büyüt / Algılama sayısını gösteren VirusTotal’dan alınan ekran görüntüsü.

Tersine Çevirme Laboratuvarları

Oxzy.exe ise yalnızca yedi kötü amaçlı yazılımdan koruma motoru tarafından algılanan Update.exe adlı ikinci bir kötü amaçlı dosyayı indirdi.

Bırakılacak son dosya, dokuz motor tarafından algılanan SearchProtocolHost.exe olarak adlandırıldı.

Bu motorlardan biri Microsoft’un Defender’ıydı. Açıklama şuydu: Wacatac.b!ml, Microsoft’un “PC’nizde kötü niyetli bir bilgisayar korsanının tercihine göre bir dizi eylemi gerçekleştirebileceğini” söylediği bir kötü amaçlı yazılım parçası. Bir Trend Micro’dan analiz Truva Atı’nın en az 2019’dan beri var olduğunu, internette bulunan korsan yazılımlar aracılığıyla yayıldığını gösterdi.

PyPI ve NPM gibi açık kaynak havuzları, meşru bir projenin kaynağında kötü amaçlı yazılım yayan tedarik zinciri saldırıları yoluyla kötü amaçlı yazılım yüklemek için vektörler olarak giderek daha fazla kullanılmaya başlandı. 2018’den 2021’e kadar, bu tür saldırılar NPM’de neredeyse dört kat ve PyPI’de yaklaşık beş kat arttı. göre güvenlik firması ReversingLabs. Geçen yılın Ocak-Ekim ayları arasında PyPI’ye 1.493 kötü amaçlı paket ve NPM’ye 6.977 kötü amaçlı paket yüklendi.

Geçen Eylül ayında, PyPI tedarik zinciri saldırıları arttı. Bir tehdit aktörü, PyPI’ye katkıda bulunanlara kimlik bilgilerine dayalı bir kimlik avı saldırısı başlattı ve başarılı olduğunda, güvenliği ihlal edilmiş hesaplara erişimi, hesapla ilişkili meşru projelerin en son sürümü gibi görünen kötü amaçlı yazılım yayınlamak için kullandı. Meşru projeler dahil Exotel ve İstenmeyen e-posta. Tanınmış projelere benzer görünen adlar kullanan kötü amaçlı paketlerin aksine, bu saldırılar yıllarca kullanılan bir projenin resmi kaynağını zehirleyebildi. Saldırıların arkasındaki tehdit aktörü aktif olmuş en az 2021’den beri.

ReversingLabs araştırmacıları, en son saldırıları belgeleyen gönderide, “Python son kullanıcıları, özellikle yeni yazarlardan herhangi bir paketi indirmeden ve çalıştırmadan önce her zaman durum tespiti yapmalıdır.” “Görüldüğü gibi kısa sürede birden fazla paketin yayınlanması da bir yazarın güvenilir olduğunun göstergesi değildir.”

Aynı tavsiye NPM, RubyGems ve neredeyse diğer tüm açık kaynak depolarına uygulanmalıdır.

By admin