Araştırmacılar, çevrimiçi ortamda, macOS kurbanlarından çok sınırlı sayıda kişiden Google Cloud Platform kimlik bilgilerini çalmayı amaçlayan oldukça tuhaf bir Python kod paketiyle karşılaştılar.
“lr-utils-lib” paketi yüklendi Python Paket Dizini (PyPi) Haziran ayının başlarında, kötü amaçlı kodunu kurulum dosyasında gizler, Checkmarx bir blog yazısında açıklanmıştır 26 Temmuz’da — böylece kurulumdan hemen sonra çalıştırılmasına izin verir. Daha sonra, kod bir macOS sisteminde çalıştığını kontrol eder ve eğer öyleyse, belirli bir Mac bilgisayarını tanımlamak için kullanılan değer olan sistemin IOPlatformUUID’sini kontrol eder.
Kötü amaçlı yazılımın son derece hedefli olduğu ve yalnızca 64 belirli makineden oluşan önceden belirlenmiş bir listeyi enfekte etmeyi amaçladığı ortaya çıktı. Bu makineler ve onları hedef alan saldırgan hakkında daha fazla bilgi şu anda bilinmiyor, ancak şunu belirtmekte fayda var: paketin adı meşru bir paketin adına çok yakın “lr-utils” olarak adlandırılan, derin öğrenme ve sinir ağları uygulamalarında ve büyük veri kümelerini indirmek için yaygın olarak kullanılan. Dark Reading, kampanyanın olası hedefleri hakkında bir fikir verip veremeyeceğini görmek için Checkmarx’a bir yorum talebi gönderdi.
Her durumda, bu makinelerden lr-utils-lib, Google Cloud Platform kimlik bilgilerini sızdırın uzak bir sunucuya, bulut varlıklarına yönelik veri hırsızlığı, kötü amaçlı yazılım yerleştirme ve yanal hareket için istismar edilebilecek savunmasız bileşenlerin ortama sokulması gibi takip eden saldırılar potansiyeliyle. Phylum’daki araştırma başkanı Ross Bryant’ın açıkladığı gibi, “Risk açıktır. Dijital kimlik bilgilerinize sahip olan herkes, etkili bir şekilde tüm haklarınıza ve ayrıcalıklarınıza sahiptir.”
Kampanyanın bir diğer ilginç yönü de sosyal mühendislik. Paket sahibi “Lucid Zenith” adıyla biliniyor ve görünüşe göre LinkedIn’de meşru bir organizasyonun – Apex Companies LLC – CEO’su olduğunu iddia ediyor. Şirketin gerçek CEO’suna ait başka bir LinkedIn profili daha var, ancak sahte sayfa görünüşe göre o kadar ikna edici ki Perplexity de dahil olmak üzere bazı AI platformları Lucid Zenith’in şirketin gerçek CEO’su olduğunu yanlış bir şekilde belirtti, Checkmarx kaydetti.
“Lucid Zenith’in konumu hakkında daha fazla bilgi edinmek için çeşitli yapay zeka destekli arama motorlarına ve sohbet robotlarına başvurduk,” diye yazıyor gönderide. “Bulduğumuz şey çeşitli tutarsız yanıtlardı.”
“Bu durum oldukça şok ediciydi çünkü yapay zeka destekli arama motoru, gerçeği resmi şirket sayfasını kontrol ederek veya hatta aynı unvanı iddia eden iki LinkedIn profilinin olduğunu fark ederek kolayca doğrulayabilirdi.”
Hedefli Paket Saldırıları: Nadir Bir Olay
Kötü amaçlı paketler, gerçek doğalarını gizlerken meşru ve kullanışlı yazılım bileşenleri gibi görünerek son derece yaygın hale gelir. Ve çoğu zaman, bu gerçek doğa veri hırsızlığını içerirVe açık kaynaklı yazılım (OSS) tanımı gereği herkese açık olduğundan, genellikle bölgeler genelinde çok çeşitli hedeflere ulaşmanın iyi bir yoludur.
Bryant, bu kampanyanın öne çıktığını, çünkü OSS’nin oldukça hedefli bir şekilde kullanıldığını açıklıyor; ancak bu yaklaşım için sınırlı bir emsal bulunuyor. Örneğin, ” Kuzey Kore faaliyetleriyle ilişkili gördüğümüz kötü amaçlı npm paketleri “çok hedefli görünüyor” diyor. Her paketin, bireysel hedeflere atfettiğimiz benzersiz tanımlayıcıları var. Mağdur tehlikeye atıldığında, saldırgan paketi hemen yayından kaldırıyor ve geride neredeyse hiçbir iz bırakmıyor. Bu, yeterince etkili oldu milyarlarca dolar değerinde kripto para çalmak.”
Dark Reading, lr-utils-lib hakkında daha fazla bilgi için Checkmarx’a ulaştı, güncel durumu da dahil. Yazım sırasında, PyPi’de arama hiçbir sonuç vermedi, ancak projelerine zaten aktarmış olanları hala tehdit edebilir.
Kuruluşunuzun bu lazer hedefli paketlerden birini istemeden kabul etme riskini azaltmak için, Bryant “Bir kuruluşun yazılım tedarik zincirindeki her paket ve tüm bağımlılıkları için her yükseltmede dikkatli olmak gerekir” diyor. “Geliştiriciler ayrıca son zamanlarda çok etkili olan sosyal mühendislik saldırılarına karşı dikkatli olmalıdır.”
Checkmarx ise, bu tür saldırılara karşı savunma söz konusu olduğunda eleştirel düşüncenin paha biçilmez bir varlık olduğunu vurguladı. Gönderiye göre, “Kullanıcılar, paketleri güvenilir kaynaklardan yüklediklerinden ve kurulum betiklerinin içeriklerini doğruladıklarından emin olmalılar.” “İlişkili sahte LinkedIn profili ve yapay zeka destekli arama motorlarının bu yanlış bilgileri tutarsız bir şekilde ele alması… bilgi doğrulama için yapay zeka destekli araçların sınırlamalarını hatırlatıyor ve paket halüsinasyonları gibi sorunlarla paralellikler kuruyor. Sıkı inceleme süreçlerine, çok kaynaklı doğrulamaya ve eleştirel düşünme kültürünü teşvik etmeye yönelik kritik ihtiyacın altını çiziyor.”