Tehdit aktörleri Python geliştiricilerine saldırmak için yazım hatası kullanıyor (yeni sekmede açılır) kötü amaçlı yazılım ile, araştırmacılar iddia etti.
Spectralops.io’dan uzmanlar kısa süre önce Python programcıları için bir yazılım deposu olan PyPI’yi analiz etti ve platformda on kötü amaçlı paket buldu. Tüm bunlara, geliştiricileri kusurlu paketleri indirmeye ve benimsemeye kandırmak için meşru paketlerin adlarıyla neredeyse aynı adlar verildi.
Bu tür saldırılara yazım hatası denir ve siber suçlular arasında yaygın bir olaydır. Yalnızca kod depolarında kullanılmaz (geçmişte örneğin GitHub’da çok sayıda örnek görmemize rağmen), aynı zamanda kimlik avı e-postalarında, sahte web sitelerinde ve kimlik hırsızlığında da kullanılır.
Binlerce geliştirici risk altında
Mağdurlar bu paketleri benimserlerse, kötü amaçlı yazılımın özel veri hırsızlığına ve geliştirici kimlik bilgilerinin çalınmasına izin verdiği göz önüne alındığında, tehdit aktörlerine krallıklarının anahtarlarını veriyor olacaklar. Saldırganlar daha sonra verileri üçüncü bir tarafa gönderir ve kurbanlar ne olduğunu asla bilmezler. Spectralops, bugün itibariyle PyPi’nin 600.000’den fazla aktif kullanıcısı olduğunu hatırlatarak tehdit ortamının oldukça büyük olduğunu gösteriyor.
Spectralops.io’da Veri Bilimi Lideri Ori Abramovsky, “Bu saldırılar, Python kurulum sürecinin, kötü niyetli oyuncuların kötü niyetli kodlarını koyabilecekleri bir yer olan rastgele kod parçacıkları içerebileceği gerçeğine dayanıyor” dedi. “Bu paketlerin kodunu analiz eden ve kötü amaçlı paketler hakkında otomatik uyarı veren makine öğrenimi modellerini kullanarak keşfettik.”
Etkilenen paketlerin tam listesi:
- Ascii2text
- Pyg-utils, Pymocks ve PyProto2
- Test-zaman uyumsuz
- Ücretsiz-net-vpn ve Ücretsiz-net-vpn2
- Zlibsrc
- tarayıcıdiv,
- WINRPCexpoit
Araştırmacılar, kısa bir süre sonra kötü amaçlı paketleri deposundan kaldıran PyPI’ye ulaştı. Yine de, bunları geçmişte indiren geliştiriciler hala risk altındadır ve her ihtimale karşı parolalarını ve diğer oturum açma kimlik bilgilerini yenilemelidir.
Abramovsky, “Burada dikkat çekici olan, bu kötü amaçlı paketlerin ne kadar yaygın olduğudur,” diye devam etti. “Basit ama tehlikeliler. Şahsen, bu tür saldırılarla karşılaştığımda, kullandığım her Python paketini iki kez kontrol etmeye başladım. Hatta bazen onu indirip kurmadan önce kodunu manuel olarak gözlemliyorum.”