Python Paket Dizini’nin (PyPI) yöneticileri, bir güvenlik sağlayıcısının onları bu konuda bilgilendirmesinin ardından 10 kötü amaçlı yazılım kod paketini kayıt defterinden kaldırdı.
Olay, tehdit aktörlerinin birden fazla kuruluşu tehlikeye atmak amacıyla PyPI, Node Package Manager (npm) ve Maven Central gibi yaygın olarak kullanılan yazılım havuzlarına sahte yazılım yerleştirdiği, hızla büyüyen son örneklerin en sonuncusu. Güvenlik analistleri, bu eğilimi, geliştirme ekiplerinin kamu kayıtlarından üçüncü taraf ve açık kaynak kodunu indirirken durum tespiti yapma ihtiyacını önemli ölçüde artırdığını belirtti.
Check Point’s Spectralops.io’daki araştırmacılar, PyPI’deki bu en son kötü amaçlı paketler setini ortaya çıkardı ve bunların bilgi çalan kötü amaçlı yazılımlar için damlatıcılar olduğunu buldu. Paketler yasal kod gibi görünecek şekilde tasarlandı ve bazı durumlarda PyPI’deki diğer popüler paketleri taklit etti.
Kurulum Komut Dosyalarında Kötü Amaçlı Kod
Check Point araştırmacıları, kötü amaçlı yazılımı kayıt defterine yerleştiren tehdit aktörlerinin, kötü amaçlı kodu sisteme yerleştirdiğini keşfetti. paket kurulum komut dosyası. Bu nedenle, bir geliştirici hileli paketlerden herhangi birini yüklemek için “pip” yükleme komutunu kullandığında, kötü amaçlı kod kullanıcının makinesinde fark edilmeden çalışır ve kötü amaçlı yazılım damlalığını yükler.
Örneğin, “Ascii2text” adlı sahte paketlerden biri, yükleme komut dosyası (setup.py) tarafından içe aktarılan bir dosyada (_init_.py) kötü amaçlı kod içeriyordu. Bir geliştirici paketi yüklemeye çalıştığında, kod yerel şifreleri arayan bir komut dosyasını indirir ve yürütür ve ardından bir Discord sunucusuna yükler. Check Point’e göre kötü amaçlı paket, tam olarak aynı ad ve açıklamadaki popüler bir sanat paketi gibi görünecek şekilde tasarlandı.
10 hileli paketten üçü (Pyg-utils, Pymocks ve PyProto2), yakın zamanda kötü amaçlı yazılım dağıtan aynı tehdit aktörü tarafından geliştirilmiş gibi görünüyor. AWS kimlik bilgilerini çalmak PyPI üzerinde. setup.py yükleme işlemi sırasında, örneğin Py-Utils, AWS kimlik bilgilerini çalma kampanyasında kullanılanla aynı kötü amaçlı etki alanına bağlandı. Pymocks ve PyProto2, yükleme işlemi sırasında farklı bir kötü amaçlı etki alanına bağlansa da, kodları Pyg-utils ile neredeyse aynıydı ve Check Point’in aynı yazarın üç paketi de oluşturduğuna inanmasına neden oldu.
Diğer paketler, test kodu için bir paket olduğu iddia edilen Test-async adlı olası bir kötü amaçlı yazılım indiricisini içerir; biri setup.py yükleme işlemi sırasında kullanıcı kimlik bilgilerini çalmak için WINRPCexploit olarak adlandırılır; ve ortam değişkenlerini çalmak için iki paket (Free-net-vpn ve Free-net-vpn2).
Check Point, “Geliştiricilerin eylemlerini güvende tutmaları, kullanımdaki her yazılım bileşenini ve özellikle farklı depolardan indirilenleri iki kez kontrol etmeleri önemlidir” diye uyarıyor.
Güvenlik satıcısı, kötü amaçlı paketlerin PyPI kayıt defterinde ne kadar süredir mevcut olabileceği veya bunları kaç kişinin indirmiş olabileceği sorulduğunda hemen yanıt vermedi.
Artan Tedarik Zinciri Riski
Olay, uygun inceleme yapılmadan halka açık depolardan üçüncü taraf kod indirmenin artan tehlikelerini vurgulayan en son olaydır.
Daha geçen hafta, Sonatype, İtalya’daki bir okul çağındaki bir bilgisayar korsanının bir deneyin parçası olarak PyPI’ye yüklediği fidye yazılımı içeren üç paket keşfettiğini bildirdi. 250’den fazla kullanıcı paketlerden birini indirdi ve bunlardan 11’i bilgisayarlarında şifrelenmiş dosyalara sahip oldu. Bu durumda kurbanlar şifre çözme anahtarını fidye ödemek zorunda kalmadan alabildiler çünkü bilgisayar korsanı görünüşte kötü amaçlı yazılımı kötü niyetli olmadan yüklemişti.
Ancak, saldırganların kötü amaçlı yazılım dağıtımı için fırlatma rampaları olarak genel kod depolarını kullandığı çok sayıda başka durum da olmuştur.
Bu yılın başlarında, Sonatype ayrıca PyPI’de Cobalt Strike saldırı kitini indirmek için kötü amaçlı bir paket keşfetti. Yaklaşık 300 geliştirici, kötü amaçlı yazılımı kaldırılmadan önce indirdi. Temmuz ayında Kaspersky araştırmacıları, Java programcıları için yaygın olarak kullanılan npm deposunda gizlenen, son derece karmaşık dört bilgi hırsızı keşfetti.
Saldırganlar, geniş erişimleri nedeniyle bu kayıtları giderek daha fazla hedeflemeye başladı. PyPI, örneğin, bitti 613.000 kullanıcı ve siteden alınan kod şu anda dünya çapında 391.000’den fazla projeye yerleştirilmiştir. Fortune 500 firmaları, yazılım yayıncıları ve devlet kurumları dahil olmak üzere her boyuttan ve türden kuruluş, kendi yazılımlarını oluşturmak için halka açık havuzlardan gelen kodları kullanır.