Python Paket Dizini (PyPI) deposunda bulunan hareketsiz bir paket, yaklaşık iki yıl sonra Nova Sentinel adı verilen bilgi çalan bir kötü amaçlı yazılımı yaymak üzere güncellendi.
Adı geçen paket django-günlük-izleyiciYazılım tedarik zinciri güvenliği firması Phylum’a göre, ilk olarak Nisan 2022’de PyPI’de yayınlandı. saptanmış 21 Şubat 2024’te kütüphanede anormal bir güncelleme.
iken bağlantılı GitHub deposu 10 Nisan 2022’den bu yana güncellenmemiş olsa da, kötü amaçlı bir güncellemenin ortaya çıkması, geliştiriciye ait PyPI hesabının tehlikeye girme olasılığını akla getiriyor.
Django-günlük-izleyici 3.866 kez indirildi bugüne kadar rogue sürümü (1.0.4) yayınlandığı tarihte 107 kez indirilmiştir. Paket artık PyPI’den indirilemiyor.
Şirket, “Kötü amaçlı güncellemede, saldırgan paketin orijinal içeriğinin çoğunu çıkarmış ve geride yalnızca __init__.py ve example.py dosyalarını bırakmıştır” dedi.
Basit ve kendini açıklayan değişiklikler, uzak bir sunucudan (“45.88.180”) “Updater_1.4.4_x64.exe” adlı yürütülebilir dosyanın getirilmesini içerir.[.]54″), ardından Python’u kullanarak başlatıyoruz os.startfile() işlevi.
İkili dosya, ilk kez Kasım 2023’te Sekoia tarafından video oyunu indirme olanağı sunan sahte sitelerde sahte Electron uygulamaları biçiminde dağıtıldığı belgelenen, hırsızlığa yönelik bir kötü amaçlı yazılım olan Nova Sentinel ile birlikte geliyor.
“Bu özel vakada ilginç olan şey […] Phylum, saldırı vektörünün ele geçirilmiş bir PyPI hesabı aracılığıyla tedarik zinciri saldırısı girişimi gibi göründüğünü belirtti.
“Bu gerçekten popüler bir paket olsaydı, bu paketin bağımlılık dosyasında bir sürüm belirtilmeden veya esnek bir sürüm belirtilmeden bağımlılık olarak listelendiği herhangi bir proje, bu paketin en son, kötü amaçlı sürümünü çekerdi.”