Kötü niyetli aktörler, geliştirici sistemlerine kötü amaçlı yazılım kırpıcı bulaştırmak amacıyla resmi Python Paket Dizini (PyPI) deposunda 451’den fazla benzersiz Python paketi yayınladı.
Yazılım tedarik zinciri güvenlik şirketi Phylum, kütüphaneleri gördümdevam eden faaliyetin ilk olarak Kasım 2022’de açıklanan bir kampanyanın devamı niteliğinde olduğunu söyledi.
İlk vektör, diğerleri arasında güzel çorba, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana ve tensorflow gibi popüler paketleri taklit etmek için yazım hatası kullanmayı gerektirir.
Phylum, “Kurulumdan sonra, kötü amaçlı bir JavaScript dosyası sisteme bırakılır ve herhangi bir web tarama oturumunun arka planında yürütülür.” söz konusu Geçen yıl yayınlanan bir raporda. “Bir geliştirici bir kripto para birimi adresini kopyaladığında, adres panoda saldırganın adresiyle değiştirilir.”
Bu, Windows AppData klasöründe bir Chromium web tarayıcı uzantısı oluşturarak ve ona hileli Javascript ve bir manifest.json dosyası kullanıcıların panoya erişme ve panoyu değiştirme izinlerini isteyen.
Hedeflenen web tarayıcıları arasında, “–load-extension” komut satırı anahtarı kullanılarak başlatıldığında eklentiyi otomatik olarak yüklemek için tarayıcı kısayollarını değiştiren kötü amaçlı yazılımla birlikte Google Chrome, Microsoft Edge, Brave ve Opera yer alır.
Python paketlerinin en son seti, aynı değilse de benzer bir işleyiş şekli sergiler ve kötü amaçlı yazılımın yerini alan pano tabanlı bir kripto cüzdanı olarak işlev görecek şekilde tasarlanmıştır. Değişen, JavaScript kodunu gizlemek için kullanılan şaşırtma tekniğidir.
Saldırıların nihai amacı, güvenliği ihlal edilmiş geliştirici tarafından başlatılan kripto para birimi işlemlerini ele geçirmek ve bunları amaçlanan alıcı yerine saldırganın kontrolündeki cüzdanlara yönlendirmektir.
Phylum, “Bu saldırgan, otomasyon yoluyla pypi’deki ayak izini önemli ölçüde artırdı,” dedi. “Ekosistemi bunun gibi paketlerle doldurmaya devam edeceğiz.”
Bulgular bir ile örtüşüyor rapor Yalnızca Ocak 2023’te npm kayıt defterinde 691 kötü amaçlı paket ve PyPI’de 49 kötü amaçlı paket bulan Sonatype’tan.
gelişme bir kez daha göstermektedir. artan tehdit geliştiriciler, kullanıcıları hileli paketleri indirmeleri için kandırmak için yazım hatası gibi yöntemlere güvenen rakiplerle birlikte tedarik zinciri saldırılarıyla karşı karşıyadır.