Giriş
Miasma tedarik zinciri kampanyası, Python Paket Endeksi (PyPI) kayıt defterinde 37 kötü amaçlı “wheel” belgesi ile birlikte yeni bir saldırı dalgası olan Hades‘i ortaya çıkardı. Bu saldırılar, Mini Shai-Hulud tarzı saldırıların sürekli olarak geliştirilmesi ve belirli ekosistemleri hedef alması ile devam ediyor.
Saldırı Nasıl Çalışıyor?
Kompromize edilen sürümler, Python başlangıcında otomatik olarak çalıştırılmaya çalışan bir *-setup.pth dosyası içermektedir; bu dosya, Bun JavaScript çalışma zamanını indirip, adında obfuscate edilmiş bir JavaScript yükü _index.js çalıştırmaya çalışıyor. Kötü amaçlı yük, geliştirici sistemlerden geniş bir veri yelpazesini çalmak için kullanılıyor.
Etkilenen Sistemler
Aşağıda, etkilenen paketlerin listesi yer almaktadır:
- bramin 0.0.2, 0.0.3, 0.0.4
- cmd2func 0.2.2, 0.2.3
- coolbox 0.4.1, 0.4.2
- dynamo-release 1.5.4
- executor-engine 0.3.4, 0.3.5
- executor-http 0.1.3, 0.1.4
- funcdesc 0.2.2, 0.2.3
- magique 0.6.8, 0.6.9
- magique-ai 0.4.4, 0.4.5
- mrbios 0.1.1, 0.1.2
- napari-ufish 0.0.2, 0.0.3
- nucbox 0.1.2, 0.1.3
- okite 0.0.7, 0.0.8
- pantheon-agents 0.6.1, 0.6.2
- pantheon-toolsets 0.5.5, 0.5.6
- spateo-release 1.1.2
- synago 0.1.1, 0.1.2
- ufish 0.1.2, 0.1.3
- uprobe 0.1.3, 0.1.4
Bu yük, geliştiricilerin sistemlerinden, GitHub, npm, PyPI, RubyGems, JFrog, CircleCI, AWS, GCP, Azure ve Kubernetes ile ilgili gizli bilgileri toplamak için kullanılıyor.
Yeni Belirgin Değişiklikler
Son dalgada kullanılan -setup.pth dosyası, Python’un “site” modülü tarafından işleniyor ve bu sayede kötü amaçlı yük, kurulumdan sonra çalışıyor; bu işlem, kurbanın zehirlenmiş paketi içe aktarmasını gerektirmiyor. Kötü amaçlı yük, sistemi Rus yerelleştirmesine uygun olup olmadığını kontrol ettikten sonra yürütülüyor.
Hades Kümesi ve AI Güvenlik Taramacılarını Kandırmak
Hades kampanyası kapsamında, hesaplama biyolojisi, biyoenformatik ve genotip-fenotip analizi ekosistemine ait bir dizi paket etkilenmiştir:
- embiggen 0.11.97
- ensmallen 0.8.101
- gpsea 0.9.14
- mflux-streamlit 0.0.3, 0.0.4
- nhmpy 2.4.7
- ppkt2synergy 0.1.1
- pyphetools 0.9.120
Bu paketler, obfuscate edilmiş bir tek satırlık import hook ile birlikte, yükleme işlemi gerçekleştirmektedir. Sonuç olarak beklenen yükleme ve çalıştırma işlemi aynı amaca hizmet ediyor.
Çözüm ve Korunma
Okuyuculara şu adımları izlemeleri önerilmektedir:
- Tüm etkilenen paketleri güncelleyin.
- Potansiyel kötü amaçlı yüklemeleri kontrol edin ve sistemlerinizi tarayın.
- Gizli anahtarlarınızı ve kimlik bilgilerinizi güvence altına alın.
- Güvenlik açıklarını gidermek için Python ortamlarınızı denetleyin.
- Potansiyel kötü amaçlı paketler hakkında bilgi sahibi olun ve gerekli önlemleri alın.
Tekrar eden saldırı kayıtlarına karşı dikkatli olmak ve sistemleri düzenli olarak güncellemek, uzun vadeli güvenliği sağlamak için kritik öneme sahiptir.
