Saldırganlar, sahte Python paketleri oluşturmaya ve geliştiricilerin sistemlerine kripto para birimi bilgilerini çalmak, hassas verileri sızdırmak ve geliştiricilerin sistemlerinden kimlik bilgilerini toplamak için tasarlanmış bir Truva atı olan W4SP Stealer’ı bulaştırmak amacıyla basit gizleme teknikleri kullanmaya devam ediyor.
Yazılım tedarik zinciri firması Phylum tarafından bu hafta yayınlanan bir tavsiyeye göre, bir tehdit aktörü Python Paket Endeksi’nde (PyPI) 29 popüler yazılım paketi klonu oluşturarak onlara kulağa hoş gelen isimler vererek veya kasıtlı olarak meşru paketlere benzer isimler vererek, yazım hatası olarak bilinen uygulama. Bir geliştirici kötü amaçlı paketleri indirir ve yüklerse, kurulum komut dosyası birkaç karmaşık adım aracılığıyla W4SP Stealer Truva Atı’nı da yükler. Araştırmacılar, paketlerin 5.700 indirmeyi oluşturduğunu söyledi.
Phylum’un kurucu ortağı ve CTO’su Louis Lang, W4SP Stealer kripto para cüzdanlarını ve finansal hesapları hedeflerken, mevcut kampanyaların en önemli amacının geliştirici sırları olduğunu söylüyor.
“Görmeye alıştığımız e-posta kimlik avı kampanyalarından farklı değil, yalnızca bu sefer saldırganlar yalnızca geliştiricileri hedef alıyor” diyor. “Geliştiricilerin genellikle taç mücevherlere erişimi olduğunu düşünürsek, başarılı bir saldırı bir kuruluş için yıkıcı olabilir.”
Bilinmeyen aktör veya grup tarafından PyPI’ye yapılan saldırılar, yazılım tedarik zincirini hedef alan en son tehditlerdir. PyPI ve Node Package Manager (npm) gibi depo hizmetleri aracılığıyla dağıtılan açık kaynaklı yazılım bileşenleri, yazılıma aktarılan bağımlılıkların sayısı önemli ölçüde arttığından popüler bir saldırı vektörüdür. Saldırganlar, 2020 yılında Ruby Gems ekosistemine yapılan bir saldırıda ve Docker Hub görüntü ekosistemine yapılan saldırılarda olduğu gibi, kötü amaçlı yazılımları dikkatsiz geliştiricilerin sistemlerine dağıtmak için ekosistemleri kullanmaya çalışır. Ağustos ayında Check Point Software Technologies’deki güvenlik araştırmacıları, bilgi çalan kötü amaçlı yazılımları düşüren 10 PyPI paketi buldu.
Phylum araştırmacıları, bu son kampanyada, “bu paketler, W4SP Stealer’ı Python geliştiricisinin makinelerine teslim etmek için daha karmaşık bir girişimdir” dedi. Analizlerinde belirtilenekledi: “Bu, kararlı bir saldırganın sürekli değişen taktikleriyle devam eden bir saldırı olduğundan, yakın gelecekte bunun gibi daha fazla kötü amaçlı yazılım göreceğimizden şüpheleniyoruz.”
PyPI Saldırısı Bir “Sayı Oyunu”
Bu saldırı, ortak bir paketin adını yanlışlıkla yanlış yazan veya yazılımın kaynağını yeterince incelemeden yeni bir paket kullanan geliştiricilerden yararlanır. “Typesutil” adlı bir kötü amaçlı paket, popüler Python paketi “datetime2″nin birkaç değişiklikle yalnızca bir kopyasıdır.
Başlangıçta, kötü amaçlı yazılımı içe aktaran herhangi bir program, Python bağımlılıkları yüklediğinde kurulum aşamasında kötü amaçlı yazılımı indirmek için bir komut çalıştırır. Ancak, PyPI belirli kontrolleri uyguladığından, saldırganlar şüpheli komutları çoğu kod düzenleyicinin normal görüntülenebilir aralığının dışına itmek için boşluk kullanmaya başladı.
Phylum, “Saldırgan taktikleri biraz değiştirdi ve içe aktarmayı bariz bir noktaya boşaltmak yerine, kötü amaçlı kodu diğer meşru kodlarla aynı satıra gizlice sokmak için Python’un nadiren kullanılan noktalı virgülünden yararlanarak ekranın dışına yerleştirildi,” dedi. onun analizinde.
Phylum’dan Lang, yazım hatası yapmak, yalnızca nadir başarıları olan düşük sadakatli bir saldırı olsa da, çabanın saldırganlara olası ödüle kıyasla çok az maliyeti olduğunu söylüyor.
“Saldırganların paket ekosistemini bu kötü niyetli paketlerle günlük olarak kirlettiği bir sayı oyunu” diyor. “Talihsiz gerçek şu ki, bu kötü niyetli paketlerden birini dağıtmanın maliyeti, potansiyel ödüle kıyasla son derece düşük.”
Acıtan Bir W4SP
Saldırının nihai amacı, kurbanın sistemini numaralandıran, tarayıcıda saklanan şifreleri çalan, kripto para cüzdanlarını hedefleyen ve ‘banka’ ve ‘gizli’ gibi anahtar kelimeleri kullanarak ilginç dosyaları arayan “bilgi çalan Trojan W4SP Stealer’ı kurmaktır. ‘” diyor Lang.
“Kripto para birimi veya bankacılık bilgilerini çalmanın bariz parasal ödüllerinin yanı sıra, çalınan bilgilerin bir kısmı saldırgan tarafından kritik altyapıya veya ek geliştirici kimlik bilgilerine erişim sağlayarak saldırılarını ilerletmek için kullanılabilir” diyor.
Phylum, saldırganı belirlemede bir miktar ilerleme kaydetti ve altyapısı kullanılan şirketlere raporlar gönderdi.