Tüm yeni kullanıcıların ve paket yüklemelerinin geçici olarak askıya alınmasının ardından, Python Paket Dizini (PyPI) deposu yedeklendi ve çalışıyor. Pek çok kişi, suçlunun siteyi çok sayıda kötü amaçlı paketle doldurması olduğunu belirtti – ancak bir PyPI yöneticisi, olağan dışı bir bolluk olmadığını, olağan bolluğu gidermek için normalden daha az sayıda insan olduğunu belirtti.
PyPI, sitenin ana sayfasına göre 700.000’den fazla kullanıcıya ve 450.000’den fazla projeye hizmet veren Python için resmi yazılım deposudur. Popülaritesi yalnızca geliştiricileri değil, tedarik zinciri ihlallerinde ilk adım olarak kötü amaçlı paketler yüklemek isteyen bilgisayar korsanlarını da cezbetti.
Cumartesi öğleden sonra (UTC) başlayarak, PyPI yeni kullanıcı ve proje kayıtlarını geçici olarak askıya aldı. Sitenin yöneticileri, “Geçen hafta dizinde oluşturulan kötü niyetli kullanıcıların ve kötü niyetli projelerin hacmi, özellikle birden fazla PyPI yöneticisi izinliyken, buna zamanında yanıt verme yeteneğimizi geride bıraktı.” bir olay raporunda.
Açıklama, güvenlik topluluğunun kaşlarını kaldırdı ve birçok haber sitesi, sitenin anormal bir saldırı dalgasının kurbanı olduğunu bildirdi. kötü niyetli aktivite hatta bir düpedüz siber saldırı. Ve araştırma firması Checkmarx karakterize edilen bir blogda durum, “birkaç açık kaynak kayıt defterinde çok büyük miktarlarda kötü amaçlı paketler yayınlayan aktörler”deki artışın bir parçası olarak ortaya çıktı.
Ancak Python Yazılım Vakfı’nın altyapı direktörü Ee Durbin, Dark Reading’e kapatmanın gerçek koşullarının sanıldığından çok daha az dramatik olduğunu söylüyor.
Durbin, “Bu hafta sonu sadece bir insan kapasitesi meselesiydi” diyor. “Etkili olarak, her zamanki üç PyPI yöneticisinden raporları işlemek için yalnızca bir PyPI yöneticisi vardı ve onların (benim) bir haftasonuna ihtiyaçları vardı.”
21 Mayıs (UTC) akşamı itibariyle PyPI bir kez daha her zamanki gibi çalışıyoridari ekibi yürürlüktedir.
Açık Kaynak Yazılım Depoları Hakkında Neden Endişe Ediyoruz?
PyPI’nin 30 saatlik kapanmasıyla ilgili gürültünün en azından bir kısmı, açık kaynak güvenliğinin durumuyla ilgili artan korkularla açıklanabilir.
Phylum’un kurucu ortağı ve CSO’su Peter Morgan, “Geçtiğimiz iki yıl içinde saldırıların sayısının hızla arttığını gördük” diyor. 2023 yılının ilk çeyreğinde, Phylum 2,8 milyon paketi analiz etti PyPI, npm ve Nuget gibi popüler depolarda yayınlandı, bunlardan 18.016’sı kurulum sırasında şüpheli kod yürüttü, 6.099’u bilinen kötü amaçlı URL’lere atıfta bulundu ve 2.189’u belirli kuruluşları hedef aldı.
Kötü amaçlı paketler bugün o kadar yaygınlaşıyor ki, bazı bilgisayar korsanları artık onları saklama ihtiyacı hissetmiyor.
Morgan, “Gittikçe daha fazla sayıda saldırgan bunun ne kadar kolay olduğunun farkına varıyor. Herhangi bir beceri gerektirmiyor. İnternetten komut dosyaları indirebilir ve bunları açık kaynak tedarik zincirini kirletmek için kullanabilirsiniz,” diye açıklıyor Morgan. “Ayrıca masrafsız. Para harcamanıza gerek yok. Anonim hesaplarla ücretsiz yapabilirsiniz.”
Morgan, günümüzde yazılım söz konusu olduğunda, “çok fazla bağımlılık var. Saldırganın tek yapması gereken, bilgisayarınızda ele geçirmek için bağımlılık zincirine bir ayağını sokmak. Yani savunmacı,” diye devam ediyor. [has a] Burada büyük dezavantaj. Saldırganın sadece bir kez kazanması gerekiyor.”
Buna karşılık, açık kaynaklı yazılım kullanan kuruluşlar şunları okuyun: Tümü kuruluşlar — bu tür düşük seviyeli saldırganlara karşı bile savunma yapmakta çok daha zorlanır, bu da daha iyi paket denetimi, bağımlılıkları izlemek için yeni araçların geliştirilmesi ve yazılım malzeme listeleri (SBOM’ler) için çağrılara yol açar.
Herkes kadar depoların bakımıyla görevli olanlar da bu konuların farkındadır. Durbin, “Projelerinizde veya ‘pip install’ ile komut satırında, genel bir dizinden yükleme yaparken her zaman düzenli olarak dikkatli olunmalıdır” diyor.
Depolar, Kötü Amaçlı Paketlerle Savaşmak İçin Değişiklikler Yapıyor
Tarihsel olarak, veri havuzları sayıları çok daha fazla olan rakiplerine ayak uydurmak için mücadele etmiştir. Endişeleri gidermek için Durbin, “çok daha sürdürülebilir ve potansiyel olarak otomatikleştirilmiş kötü amaçlı yazılım raporlarının yakında kullanıma sunulmasına olanak sağlayacak heyecan verici gelişmelere sahibiz” diyor.
Python Software Foundation ayrıca yakın zamanda bir yerleşik güvenlik geliştiricisi rolü, genel olarak Python güvenliğini iyileştirmeyi amaçlıyordu. Ve sadece birkaç hafta önce Durbin, PyPI’nin bir emniyet ve güvenlik mühendisiişi özellikle PyPI’nin güvenliğine odaklanmak olacak.
Önümüzdeki yıllarda tedarik zinciri güvenliği, halka açık depoları temiz tutma ve temiz olmadıklarında kendimizi koruma becerimizi harekete geçirecek. Durbin sözlerini şöyle tamamlıyor: “Herkes güvenlik açıkları olan şeyleri bulmaya çok ama çok odaklanmış durumda, ancak yazılım güvenlik açıkları günümüzde saldırganların bilgisayarlara girmek için kullandıkları şeyler değil. Kötü amaçlı paketler oluşturuyorlar.”