Neredeyse on yıldır dokunulmamış bir GitHub deposu aniden bir “güncelleme” aldığında, bu yalnızca virüs dağıtma niyetiyle düşmanca bir devralma olabileceğinden, kullanıcılar dikkatli olmalıdır. (yeni sekmede açılır).
Görünüşe göre milyonlarca indirmeye sahip olan “ctx” PyPI modülüne tam olarak bu oldu. Bu ayın başlarında, bir yazılım tedarik zinciri saldırısının ardından, birisi güvenli “ctx” kodunu geliştirici ortam değişkenlerini çalan ve Amazon AWS anahtarları ve kimlik bilgileri gibi sırları toplayan güncellenmiş bir sürümle değiştirdi.
Bunlar daha sonra bir Heroku uç noktasına gönderilir (yeni sekmede açılır)https://anti-theft-web.herokuapp adresinde[.]com/saldırıya uğradı/
repo kriko
Saldırı, ilk fark edilen BleeBilgisayaryaklaşık 20.000 indirme ile sonuçlandı.
PHP/Composer paket deposu Packagist’te yayınlanan “phpass” sürümleri “ctx”in yanı sıra aynı şekilde “güncellendi”. Bunun da milyonlarca indirmesi var.
CTX, son güncellemesi 2014 yılında gerçekleşen bir Python modülüdür. Ardından, sekiz yıl sonra, 15 Mayıs’ta modül, Reddit kullanıcılarının tespit ettiği ve daha sonra etik bilgisayar korsanları tarafından onaylandığı gibi kötü amaçlı bir kodla güncellendi. PHPass ise 2005 yılında piyasaya sürülen ve şu ana kadar iki milyondan fazla kez indirilen açık kaynaklı bir parola karma çerçevesidir.
PyPI, kötü amaçlı sürümleri depoya yüklendikten birkaç saat sonra kaldırdı, ancak hasarın zaten verildiği söylendi. Araştırmacılar, PHPass aracılığıyla verilen hasarın çok daha sınırlı olduğunu ekledi.
Araştırmacılar, her iki saldırının da kimliği “açık” olan, ancak daha fazla ayrıntı ortaya çıkmadan herhangi bir isim vermekten kaçınan aynı kişi tarafından yapıldığını iddia ediyor.
Araştırmacılar bu tür saldırıları “repo hırsızlığı” (depo kaçırma) olarak adlandırıyorlar ve bunlar onların ilk örnekleri değil. Bu yılın başlarında, popüler npm kitaplıkları ua-parser-js, coa ve rc, kripto para madencilerine ve bilgi hırsızlarına kurbanlarına hizmet etmek için yeniden düzenlendi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
