Açık kaynak kodunun halka açık havuzları, birçok kuruluşun uygulamalar oluşturmak için kullandığı yazılım tedarik zincirinin kritik bir parçasıdır. Bu nedenle, kötü amaçlı yazılımları geniş bir kitleye dağıtmak isteyen düşmanlar için çekici bir hedeftirler.
En son örnek, Python uygulama geliştiricileri için yaygın olarak kullanılan Python Paket Dizini (PyPI) kayıt defterine yüklenen Cobalt Strike’ı Windows, macOS ve Linux sistemlerinde dağıtmak için kötü amaçlı bir pakettir. “Pymafka” paketi, şu ana kadar 4,2 milyondan fazla indirilen Python için popüler bir Apache Kafka istemcisi olan “PyKafka”ya çok benzeyen bir ada sahiptir.
300’den fazla kullanıcı vardı kötü niyetli paketi indirmesi için kandırıldı, Sonatype’deki araştırmacılar sorunu keşfetmeden ve PyPI kayıt defterine bildirmeden önce bunun meşru kod olduğunu düşünerek. O zamandan beri kaldırıldı, ancak kötü amaçlı komut dosyasını içeren uygulamalar bir tehdit olmaya devam ediyor.
Bir Ayda İkinci Typosquatting Olayı
Olay, Sonatype araştırmacılarının bu ay ortaya çıkardığı Apache Kafka projesini içeren ikinci yazım hatası olayıdır. Daha önce, PyPI’de GitHub’da Kafka ile ilgili Python projesiyle aynı adı taşıyan “karaspace” adlı bir paket keşfettiler. PyPI’deki kötü amaçlı paket, meşru projeyle aynı ada sahip olsa da, paketin kurulu olduğu parmak izi alma cihazları için IP adreslerini, kullanıcı adlarını ve diğer bilgileri çalmak üzere tasarlanmıştır.
Cuma günü bir blogda Sonatype, pymafka’nın kurulu olduğu platformu algılamak ve ardından cihaza bir Kobalt Strike işaretinin işletim sistemine uygun bir sürümünü yerleştirmek için tasarlandığını açıkladı. Kobalt Strike, genellikle bir hedef ağ ortamında yanal hareket için kötü niyetli olarak kullanılır.
Sonatype, yürütülebilir dosyaların bulut barındırma sağlayıcısı Vultr ile ilişkili bir IP adresinden indirildiğini gözlemlediğini söyledi. Bir sisteme kurulduktan sonra, işaretçi, Alibaba’ya atanan Çin merkezli bir IP adresi ile iletişim kurmaya çalışır.
Sonatype’a göre, “VirusTotal’a sunduğumuz sırada virüsten koruma motorlarının üçte birinden azı örnekleri kötü amaçlı olarak algıladı, ancak bu hala daha önceki keşiflerimizin bazılarında görülen sıfır algılamadan daha iyi bir algılama oranı.”
kör güven
Pymafka olayı, PyPI ve diğer halka açık depoları içeren ve sayıları giderek artan güvenlik olaylarının en sonuncusu. Örneğin, geçen Kasım ayında JFrog’dan araştırmacılar keşfetti 11 kötü amaçlı Python paketi PyPI üzerinde. Temmuz ayında, bazı kişilerden kredi kartı verilerini ve diğer bilgileri çalmaya çalışan kötü niyetli PyPI paketleri keşfettiler. 30.000 sistem paketlerin kurulduğu yer. Aynı ay, bir Japon araştırmacı, saldırganlara bir yol sağlayan bir güvenlik sorunu bildirdi. uzaktan kötü amaçlı kod yürütmek kayıt defterinde.
JFrog, geçen yıl “Geliştiriciler, depolara körü körüne güveniyorlar ve bu kaynaklardan paketler kuruyorlar, güvenli olduklarını varsayarak,” diye uyardı. “Bazen kötü amaçlı yazılım paketlerinin paket deposuna yüklenmesine izin verilir, bu da kötü niyetli oyunculara virüsleri dağıtmak için depoları kullanma ve hem geliştirici hem de geliştiricilere başarılı saldırılar başlatma fırsatı verir. [continuous integration/continuous delivery] Boru hattındaki CI/CD makineleri.”
Saldırganın halka açık depolara artan ilgisine ilişkin endişeler, birkaç güvenlik girişimi Son yıllarda PyPI’de. Bunlar şunları içerir: iki faktörlü kimlik doğrulamanın eklenmesi bir oturum açma seçeneği ve kayıt defterine yazılım yüklemek için API belirteçleri olarak, bağımlılık çözücü pip paketi yükleyicisinin paket bağımlılıklarının doğru sürümlerini kurmasını sağlamak ve veritabanları oluşturma PyPI projelerinde bilinen Python güvenlik açıkları.
Yazılım tedarik zinciri güvenliğine ilişkin endişeler, başka, daha stratejik girişimleri de tetikledi. Bu ayın başlarında, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber güvenlik kılavuzunu yazılım tedarik zincirindeki risklere yönelik yeni önerilerle güncelledi. MITRE de kuruluşların yazılım tedarik zincirindeki hizmet sağlayıcıların ve tedarikçilerin güvenlik uygulamalarını değerlendirmek için kullanabilecekleri System of Trust adlı bir prototip çerçevesi yayınladı.