En son tedarik zinciri saldırısında, bilinmeyen bir tehdit aktörü, SentinelOne’ın tanınmış bir güvenlik istemcisi için bir yazılım geliştirme kiti (SDK) gibi görünen kötü amaçlı bir Python paketi oluşturdu.
Siber güvenlik firması ReversingLabs’in Pazartesi günü yayınladığı bir tavsiyeye göre, SentinelSneak adlı paket “tamamen işlevsel bir SentinelOne istemcisi” gibi görünüyor ve şu anda ana depo olan Python Paket Dizininde (PyPI) sık sık güncellemelerle geliştirme aşamasında. Python kodu.
Araştırmacılar, SentinelSneak kurulduğunda kötü niyetli eylemlerde bulunmaz, ancak işlevinin başka bir program tarafından çağrılmasını bekler. Bu nedenle saldırı, saldırganların daha sonraki saldırılar için bir sınır noktası olarak hedeflenen sistemlere güvenliği ihlal edilmiş kod enjekte etmenin bir yolu olarak yazılım tedarik zincirine odaklandığını vurguluyor. Araştırmacılar, şu ana kadar bu saldırıların muhtemelen gerçekleşmediğini söyledi.
ReversingLabs baş yazılım mimarı Tomislav Pericin, “Bu paketin kaynağına üstünkörü bir bakış, aksi takdirde meşru olan SDK koduna eklenen kötü amaçlı işlevselliği kolayca gözden kaçırabilirdi,” diyor.
Saldırı aynı zamanda tedarik zincirine saldırmanın yaygın bir yolunu da gösteriyor: İyi bilinen açık kaynak bileşenlerine benzer adlar taşıyan kötü amaçlı paketler oluşturmak için bir yazım hatası varyantı kullanın. Genellikle bağımlılık karmaşası olarak adlandırılan teknik, Temmuz ayında yayınlanan araştırmaya göre “IconBurst” adlı bir saldırıda JavaScript programları için Düğüm Paket Yöneticisi (npm) ekosistemine karşı kullanılan bir örnektir.
Başka bir yazım hatası saldırısında, bir tehdit grubu popüler yazılım paketlerinin en az 29 klonunu PyPI’ye yükledi.
“SentinelOne sahtekar paketi, PyPI deposundan yararlanmaya yönelik en son tehdittir ve kötü niyetli aktörler, geliştiricilerin kafa karışıklığından yararlanmak ve kötü amaçlı kodları geliştirme boru hatlarına ve meşru uygulamalara itmek için ‘yazım hatası’ gibi stratejiler kullandığından, yazılım tedarik zincirlerine yönelik büyüyen tehdidin altını çizer.” Tersine Çevirme Laboratuvarları tavsiyesinde belirtilen.
Her tür kod deposu saldırı altındayken, genel olarak npm ekosistemi, Python Paket Dizininden daha fazla kötü niyetli ilgi gördü. Şirket, ReversingLabs tarafından 2021’de tespit edilen 3.685 kötü amaçlı yüklemeden yaklaşık %60’lık bir düşüşle 2022’de PyPI’ye 1.493 kötü amaçlı paket yüklendiğini belirtti.
Dikkatsizi Kandırmak
Danışma belgesi, son çabada, sahte SentinelOne 1.2.1 paketinin birçok kırmızı bayrak uyandırdığını belirtti. Şüpheli davranışlar, dosyaların yürütülmesini, yeni süreçlerin oluşturulmasını ve bir etki alanı adı yerine IP adreslerini kullanarak harici sunucularla iletişim kurmayı içerir.
ReversingLabs, müşterinin güvenlik firmasının adını kullanması dışında SentinelOne ile hiçbir bağlantısı olmadığını vurguladı. PyPI paketi, istemciye programatik erişimi basitleştirmeye yardımcı olan bir SDK gibi görünüyor.
ReversingLabs, “Kötü niyetli aktörler, SentinelOne’ın güçlü marka bilinirliği ve itibarı hakkında taslak oluşturmaya çalışıyor olabilir ve bu da PyPI kullanıcılarının, SentinelOne müşterisi olmak için – gerekli – adımı atmadan SentinelOne’ın güvenlik çözümünü kullandıklarına inanmalarına neden olabilir.” danışma “Bu PyPI paketinin, SentinelOne’ın API’lerine erişimi soyutlamak ve API’lerin programatik tüketimini kolaylaştırmak için bir SDK işlevi görmesi amaçlanıyor.”
Dark Reading’e yaptığı açıklamada SentinelOne, paketin sahte olduğunu yineledi: “SentinelOne, adımızı kullanan son zamanlardaki kötü niyetli Python paketine dahil değil. Ancak saldırganlar, kampanyalarına amaçlanan hedeflerini aldatmalarına yardımcı olabileceğini düşündükleri herhangi bir ad koyacaklar. Bu paket hiçbir şekilde SentinelOne ile bağlantılı değildir.Müşterilerimiz güvende, bu kampanya nedeniyle herhangi bir uzlaşma kanıtı görmedik ve PyPI paketi kaldırdı.”
Saldırganlar, Geliştiricileri Başka Bir Vektör Olarak Görüyor
Saldırı aynı zamanda geliştiricilerin, kendilerini hedeflenen şirketlerin savunmasında zayıf bir nokta ve bu şirketlerin müşterilerini etkilemenin potansiyel bir yolu olarak gören saldırganların artan bir hedefi haline geldiğini gösteriyor.
Örneğin Eylül ayında saldırganlar, oyun geliştiricisi Rockstar Games’i tehlikeye atmak ve geliştiricinin amiral gemisi Grand Theft Auto franchise’ı için varlıklar da dahil olmak üzere hassas verilere erişim elde etmek için çalınan kimlik bilgilerini ve bir geliştirme Slack kanalını kullandı.
Pericin, bu nedenle şirketlerin, geliştiricilerinin hangi yazılım bileşenlerinin risk oluşturabileceğini anlamalarına yardımcı olması gerektiğini söylüyor.
“Geliştiriciler, yeni proje bağımlılıklarını kurmayı seçmeden önce daha yüksek bir incelemeye tabi tutmalıdır” diyor. “Kötü amaçlı yazılımın yüklendiğinde değil, yalnızca kullanıldığında etkinleştiği göz önüne alındığında, bir geliştirici tuhaf bir şey fark etmeden bu kötü amaçlı SDK’nın üzerine yeni bir uygulama bile oluşturmuş olabilir.”
SentinelSneak örneğinde, Truva atının arkasındaki tehdit aktörü, SentinelOne adının varyasyonlarını kullanarak beş ek paket yayınladı. Varyasyonlar testler gibi görünüyor ve kötü amaçlı işlevlerin çoğunu kapsayan bir anahtar dosyasına sahip değil.
ReversingLabs, olayı 15 Aralık’ta PyPI güvenlik ekibine bildirdi. Ertesi gün SentinelOne bilgilendirildi.
Şirket, “Bu kötü amaçlı paketi çok erken yakaladık” dedi. “Henüz kimsenin bu kötü amaçlı yazılımdan etkilendiğine dair bir belirti yok.”
Hikaye, SentinelOne’dan bir açıklama içerecek şekilde güncellendi.