Güvenlik uzmanları, hassas kullanıcı bilgilerini sızdıran çok sayıda kötü amaçlı Python paketini ortaya çıkardı.
İçinde Blog yazısı (yeni sekmede açılır)Sonatype güvenlik araştırmacısı Ax Sharma, loglib-modules, pyg-modules, pygrata, pygrata-utils ve hkg-sol-utils paketlerinin AWS kimlik bilgileri ve ortam değişkenleri gibi insanların sırlarını sızdırdığını ve bunları herkese açık bir şekilde yüklediğini söylüyor. maruz kalan uç nokta (yeni sekmede açılır).
Bazıları, adlarından da anlaşılacağı gibi, loglib ve pyg kitaplıklarına aşina olan geliştiricileri hedef alırken, diğerlerinin bilinmeyen hedefleri var.
Bilinmeyen saldırganlar
Tam olarak kaç kişinin verilerini ifşa ettiğini bilmiyoruz (yeni sekmede açılır)Sharma, araştırmacıların “hassas bilgiler ve sırlar içeren yüzlerce TXT dosyası” bulduğunu söylemesine rağmen.
Bir güvenlik ekibinin araştırma yapma olasılığını ortadan kaldırmak için Sonatype, pygrata sahiplerine ulaştı.[.]com ama asla geri duymadım. Kısa bir süre sonra, TXT dosyalarını sızdıran uç nokta zaman aşımına uğradı ve bu da araştırmacıların birinin onu kapatmış olması gerektiğini düşünmesine neden oldu. Ayrıca, loglib modülleri kısa süreliğine de olsa web’den hızla çekildi.
Sonatype, saldırının arkasındaki tehdit aktörünün kim olduğunu veya nihai hedeflerinin ne olduğunu keşfetmeyi başaramadı.
“Çalınan kimlik bilgileri web’de kasıtlı olarak ifşa mı edildi? (yeni sekmede açılır) yoksa kötü opsec uygulamalarının bir sonucu mu?” diye soruyor Sharma. “Bu bir tür meşru güvenlik testi olsa bile, şu anda bu etkinliğin şüpheli yapısını ortadan kaldıracak çok fazla bilgi yok.”
Şirket, tüm sorunlu paketleri PyPI güvenlik ekibine bildirdikten kısa bir süre sonra hepsinin kaldırıldığı sonucuna vardı.
Ara sıra araştırmacılar, açık kaynak depolarında kötü amaçlı paketler keşfederler. Bu yılın başlarında, araştırmacılar temelde truva atı gibi çalışan iki Python ve PHP paketi (ctx ve phpass) buldular. Daha sonra, “bu basit saldırının +10 milyon kullanıcıyı ve şirketi nasıl etkilediğini” göstermek için iki paketin arkasında bir Türk güvenlik araştırmacısı Yunus Aydın’ın olduğu keşfedildi.