15 Aralık 2022Ravie Lakshmanan

NuGet, PyPi ve npm ekosistemleri, bilinmeyen tehdit aktörleri tarafından 144.000’den fazla paketin yayınlanmasıyla sonuçlanan yeni bir kampanyanın hedefidir.

Checkmarx ve Illustria’dan araştırmacılar, “Paketler, saldırganların kimlik avı kampanyalarına bağlantılar içeren paketlerle açık kaynak ekosistemine spam gönderdikleri yeni bir saldırı vektörünün parçasıydı.” söz konusu Çarşamba günü yayınlanan bir raporda.

arasında 144.294 kimlik avı ile ilgili paket tespit edilenlerin 136.258’i NuGet’te, 7.824’ü PyPi’de ve 212’si npm’de yayınlandı. Suç teşkil eden kütüphaneler o zamandan beri liste dışı bırakıldı veya kaldırıldı.

Daha fazla analiz, tüm sürecin otomatikleştirildiğini ve paketlerin kısa bir süre içinde aktarıldığını ve kullanıcı adlarının çoğunun “<1900-2022>” kuralını takip ettiğini ortaya çıkardı.

Sahte paketlerin kendileri, kullanıcıları indirmeleri için kandırmak amacıyla bilgisayar korsanlığı, hile ve ücretsiz kaynaklar sağladığını iddia etti. Hileli kimlik avı sayfalarının URL’leri, paket açıklamasına katıştırılmıştı.

Açık Kaynak Havuzları

Toplamda, devasa kampanya birden fazla alanı kapsıyordu. 65.000 benzersiz URL 90 etki alanında.

Araştırmacılar, “Bu kampanyanın arkasındaki tehdit aktörleri, kimlik avı sitelerini NuGet gibi yasal web sitelerine bağlayarak muhtemelen arama motoru optimizasyonunu (SEO) iyileştirmek istediler” dedi. “Bu, paketleri indirirken dikkatli olunması ve yalnızca güvenilir kaynakların kullanılması gerektiğinin altını çiziyor.”

Bu aldatıcı ve iyi tasarlanmış sayfalar, oyun hilelerinin, Cash App hesapları için “bedava paranın”, hediye kartlarının ve YouTube, TikTok ve Instagram gibi sosyal medya platformlarında artan takipçilerin reklamını yaptı.

Siteler, genellikle olduğu gibi, vaat edilen ödülleri sunmaz, bunun yerine kullanıcıları e-posta adreslerini girmeye ve anketleri tamamlamaya teşvik eder, ardından onları yasadışı yönlendirme gelirleri elde etmek için bir satış ortağı bağlantısı aracılığıyla meşru e-ticaret sitelerine yönlendirir.

NuGet, PyPi ve npm’nin fabrikasyon paketlerle zehirlenmesi, tehdit aktörlerinin yazılım tedarik zincirine saldırmak için kullandıkları gelişen yöntemleri bir kez daha gösteriyor.

Araştırmacılar, “Süreci otomatikleştirmek, saldırganların çok sayıda kullanıcı hesabı oluşturmasına da izin vererek saldırının kaynağının izini sürmeyi zorlaştırdı” dedi. “Bu, bu kampanyayı yürütmek için önemli kaynaklar yatırmaya istekli olan bu saldırganların karmaşıklığını ve kararlılığını gösteriyor.”



siber-2