Görünüşe göre İtalya, Verona’da bulunan okul çağındaki bir bilgisayar korsanı, geliştiricilerin bugünlerde halka açık kod depolarından indirdikleri şeylere neden çok dikkat etmeleri gerektiğini gösteren en son kişi oldu.
Genç bilgisayar korsanı kısa süre önce, sözde bir deney olarak Python Paket Dizini’ne (PyPI) fidye yazılımı komut dosyaları içeren birden fazla kötü amaçlı Python paketi yükledi.
Paketlere “requesys”, “requesrs” ve “requestr” adı verildi ve bunların tümü Python için meşru ve yaygın olarak kullanılan bir HTTP kitaplığı olan “requests”in yaygın yazım hatalarıdır.
PyPI’de kötü amaçlı kodu tespit eden Sonatype araştırmacılarına göre, paketlerden biri (requesys) yaklaşık 258 kez indirildi – muhtemelen gerçek “istekler” paketini indirmeye çalışırken yazım hataları yapan geliştiriciler tarafından. Pakette, Windows sistemlerinde Belgeler, İndirilenler ve Resimler gibi klasörler arasında geçiş yapmak ve bunları şifrelemek için komut dosyaları vardı.
requesys paketinin bir sürümü, düz metin Python’da şifreleme ve şifre çözme kodunu içeriyordu. Ancak sonraki bir sürüm, Sonatype’a göre analizi biraz daha zorlaştıran Base64 gizlenmiş bir yürütülebilir dosya içeriyordu.
Kötülüğün Yokluğu?
Sistemlerini şifreleyen geliştiriciler, şifre çözme anahtarı için Discord kanalında paketin yazarı – “b8ff” (diğer adıyla “OHR” veya Sadece Umut Kalır) ile iletişime geçmelerini isteyen bir açılır mesaj aldı. Sonatype, kurbanların ödeme yapmak zorunda kalmadan şifre çözme anahtarını elde edebildiğini söylüyor.
“Ve bu davayı daha çok gri bir alan Sonatype, tamamen kötü niyetli faaliyetlerden ziyade,” sonucuna varıyor. Bilgisayar korsanının Discord kanalındaki bilgiler, en az 15 kurbanın paketi kurup çalıştırdığını gösteriyor.
Şirket, Sonatype’ın 28 Temmuz’da kötü amaçlı yazılımı keşfettiğini ve hemen PyPI yöneticilerine bildirdiğini söyledi. O zamandan beri paketlerden ikisi kaldırıldı ve bilgisayar korsanı requesys paketini yeniden adlandırdı, böylece geliştiriciler artık onu meşru bir paketle karıştırmıyor.
Sonatype kıdemli güvenlik araştırmacısı Ankita Lamba, “Burada iki paket var” diyor. “İlk olarak, popüler kitaplıkların adlarını yazarken dikkatli olun, çünkü yazım denetimi kötü amaçlı yazılımlar için en yaygın saldırı yöntemlerinden biridir” diyor.
İkincisi ve daha genel olarak, geliştiriciler ne indirdikleri ve yazılım yapılarına hangi paketleri dahil ettikleri konusunda her zaman dikkatli olmalıdırlar. Lamba, “Açık kaynak, hem dijital inovasyon için kritik bir yakıt hem de yazılım tedarik zinciri saldırıları için olgun bir hedeftir” diyor.
Depolardaki Artan Kötü Amaçlı Kod Sayısı
Olay, son zamanlarda tehdit aktörlerinin yaygın olarak kullanılan yazılım havuzlarına kötü amaçlı kod yerleştirdiği ve geliştiricilerin bu kodu indirip ortamlarına kurmalarını sağladığı artan sayıda örnek arasında yer alıyor.
Bazıları – en son olay gibi – genel yazılım havuzlarındaki meşru yazılımlarla benzer sondaj adlarına sahip kötü amaçlı yazılımlar veya yazım hatası içeren paketler içeriyor. Örneğin, Mayıs ayında Sonatype, yaklaşık 300 geliştiricinin, meşru ve yaygın olarak indirilen bir Kafka istemcisi olan “PyKafka” olduğunu düşünerek PyPI kayıt defterinden “Pymafka” adlı Kobalt Strike’ı dağıtmak için kötü amaçlı bir paket indirdiğini buldu.
Yine Mayıs ayında Sonatype, PyPI üzerinde, sistem bilgilerini çalmak için kullanılan ve GitHub’daki meşru bir Kafka projesiyle aynı adı taşıyan “karaspace” adlı başka bir kötü amaçlı paket keşfetti.
Temmuz ayında Kaspersky araştırmacıları, Node Package Manager (npm) deposunda dört bilgi çalma paketi keşfetti. Aynı ay, ReversingLabs, 27.000’den fazla kez indirilen verileri çalmak için iki düzine, oldukça karmaşık npm modülleri bulduğunu bildirdi. Satıcı, kötü amaçlı paketlerin muhtemelen yüzlerce – ve muhtemelen binlerce – mobil uygulama ve web sitesine yüklendiğini tahmin ediyor.
Güvenlik araştırmacıları, özellikle PyPI, npm ve Maven Central gibi halka açık havuzlardan açık kaynaklı yazılımların kullanılması söz konusu olduğunda, kuruluşların yazılım tedarik zincirlerine daha fazla dikkat etme ihtiyacının arttığına işaret etti.
“Eğlenceli” Bir Araştırma Projesi
En son keşfin ardından, Sonatype’deki araştırmacılar, kötü amaçlı kodun yazarıyla iletişime geçti ve onun, açıktan yararlanmalar ve bunları geliştirme kolaylığı ile ilgisini çeken, kendini okula giden bir bilgisayar korsanı olarak tanımladığını buldu.
Lamba, b8ff’in Sonatype’a fidye yazılımı komut dosyasının tamamen açık kaynaklı olduğunu ve eğlence için geliştirdiği bir projenin parçası olduğunu söyledi.
Lamba, “Okula giden bir ‘öğrenen geliştirici’ olduklarından, bunun kolayca çok daha fazla yoldan çıkabilecek fidye yazılımı istismarları hakkında eğlenceli bir araştırma projesi olması gerekiyordu,” diyor. “Yazar, bu istismarı yaratmanın ne kadar kolay olduğunu ve ne kadar ilginç olduğunu görünce şaşırdıklarını söylemeye devam etti.”