Genel kod depolarına sızan kötü amaçlı paketlerin bir başka örneğinde, şifreler ve Api belirteçleri gibi kritik veri noktalarını toplama yetenekleri nedeniyle Python Paket Dizini’nden (PyPI) 10 modül kaldırıldı.
İsrailli siber güvenlik firması Check Point, paketler “saldırganların geliştiricinin özel verilerini ve kişisel kimlik bilgilerini çalmasını sağlayan bilgi hırsızları kuruyor” söz konusu Pazartesi raporunda.
Hatalı paketlerin kısa bir özeti aşağıdadır –
- Ascii2textGoogle Chrome, Microsoft Edge, Brave, Opera ve Yandex Browser gibi web tarayıcılarında depolanan şifreleri toplayan hain bir komut dosyası indiren .
- Pyg-utils, Pymocks ve PyProto2kullanıcıların AWS kimlik bilgilerini çalmak için tasarlanmıştır
- Test-async ve Zlibsrcyükleme sırasında kötü amaçlı kodu indiren ve yürüten
- Free-net-vpn, Free-net-vpn2 ve WINRPCexploitkullanıcı kimlik bilgilerini ve ortam değişkenlerini çalan ve
- Tarayıcıdivweb tarayıcısında kayıtlı kimlik bilgilerini ve diğer bilgileri toplama yeteneğine sahip Yerel depolama dosya
Açıklama, tehdit aktörlerinin yazılım tedarik zincirini bozmak amacıyla PyPI ve Node Package Manager (NPM) gibi yaygın olarak kullanılan yazılım havuzlarında hileli yazılımlar yayınladığı son zamanlarda hızla büyüyen bir listenin en sonuncusu.
Her halükarda, bu tür olayların oluşturduğu yüksek risk, üçüncü taraf ve açık kaynaklı yazılımları halka açık havuzlardan indirmeden önce inceleme ve durum tespiti yapma ihtiyacını artırır.
Kötü Amaçlı NPM Paketleri Discord Jetonlarını ve Banka Kartı Verilerini Çalıyor
Daha geçen ay Kaspersky, NPM paketi kayıt defterinde, Discord belirteçlerini ve bağlantılı kredi kartı bilgilerini çalmak için tasarlanmış, yüksek oranda gizlenmiş kötü amaçlı Python ve JavaScript kodunu içeren küçük sm, kalıcı geçerlilikler, lifeculer ve proc-title olmak üzere dört kitaplığı açıkladı.
kampanya dublajlı LofyLifebu tür hizmetlerin, kötü amaçlı yazılımları görünüşte yararlı kitaplıklar olarak giydirerek önemli sayıda alt kullanıcıya ulaşması için bu tür hizmetlerin nasıl kazançlı bir saldırı vektörü olduğunu kanıtlıyor.
Araştırmacılar, “Tedarik zinciri saldırıları, bir kuruluş ile dış taraflar arasındaki güven ilişkilerinden yararlanmak için tasarlandı” dedi. “Bu ilişkiler, ortaklıkları, satıcı ilişkilerini veya üçüncü taraf yazılımların kullanımını içerebilir.”
“Siber tehdit aktörleri bir organizasyonu tehlikeye atacak ve ardından diğer kuruluşların ortamlarına erişmek için bu güvenilir ilişkilerden yararlanarak tedarik zincirini yukarı taşıyacaktır.”