Siber güvenlik araştırmacıları, yazılım tedarik zinciri saldırıları düzenlemek için PyPI, npm, Ruby Gems, NuGet, Dart Pub ve Rust Crates gibi birden fazla programlama ekosisteminde giriş noktalarının kötüye kullanılabileceğini buldu.
Checkmarx araştırmacıları Yehuda Gelb ve Elad Rapaport, “Saldırganlar, belirli komutlar çalıştırıldığında kötü amaçlı kod yürütmek için bu giriş noktalarından yararlanabilir ve bu da açık kaynak ortamında yaygın bir risk oluşturur.” dedi. rapor The Hacker News ile paylaşıldı.
Yazılım tedarik zinciri güvenlik şirketi, giriş noktası saldırılarının, tehdit aktörlerine, geleneksel güvenlik savunmalarını aşabilecek şekilde sistemleri tehlikeye atmak için daha sinsi ve kalıcı bir yöntem sunduğunu belirtti.
Python gibi bir programlama dilindeki giriş noktaları, geliştiricilerin belirli işlevleri bir komut satırı sarmalayıcısı (diğer adıyla console_scripts) olarak kullanıma sunmasına olanak tanıyan bir paketleme mekanizmasına atıfta bulunur. Alternatif olarak, bir paketin özelliklerini artıran eklentilerin yüklenmesine de hizmet edebilirler.
Checkmarx, giriş noktalarının modülerliği geliştirmenin güçlü bir yolu olmasına rağmen, aynı özelliğin şüphelenmeyen kullanıcılara kötü amaçlı kod dağıtmak için kötüye kullanılabileceğini belirtti. Bunun gerçekleşebileceği yollardan bazıları arasında komut hırsızlığı ve çeşitli araçlar ve çerçeveler için hileli eklentiler oluşturma yer alıyor.
Sahte paketler, popüler üçüncü taraf araçları ve komutlarını (örneğin, aws ve docker) taklit eden giriş noktaları kullandığında komut hırsızlığı meydana gelir ve böylece geliştiriciler paketi yüklediğinde, bir tekerlek (.whl) olarak dağıtıldığı durumlarda bile hassas bilgiler toplar. dosya.
Komut hırsızlığı için potansiyel hedef olabilecek, yaygın olarak kullanılan üçüncü taraf komutlarından bazıları arasında npm, pip, git, kubectl, terraform, gcloud, heroku ve dotnet yer alıyor.
İkinci tür bir komut hırsızlığı, tehdit aktörlerinin yürütme akışını ele geçirmek amacıyla meşru sistem komut adlarını (ör. touch, curl, cd, ls ve mkdir) giriş noktaları olarak kullanması durumunda da ortaya çıkabilir.
Araştırmacılar, “Bu yaklaşımın başarısı öncelikle PATH sırasına bağlıdır” dedi. “Kötü amaçlı giriş noktalarını içeren dizin PATH’de sistem dizinlerinden daha önce görünüyorsa, sistem komutu yerine kötü amaçlı komut yürütülür. Bunun yerel paket dizinlerine öncelik verildiği geliştirme ortamlarında meydana gelme olasılığı daha yüksektir.”
Hepsi bu değil. Checkmarx, komut hırsızlığının etkinliğinin, komut sarma adı verilen daha gizli bir taktikle artırılabileceğini buldu; bu taktik, orijinal komutu tamamen değiştirmek yerine, orijinal komutun etrafında sarmalayıcı görevi gören bir giriş noktası oluşturmayı içerir.
Yaklaşımı güçlü kılan şey, kötü amaçlı kodu sessizce yürütürken aynı zamanda orijinal, meşru komutu çağırması ve yürütmenin sonuçlarını döndürerek radarın altından uçmasına izin vermesidir.
Araştırmacılar, “Meşru komut hala çalıştığından ve çıktısı ve davranışı korunduğundan, anında bir uzlaşma belirtisi yok, bu da saldırının normal kullanımla tespit edilmesini son derece zorlaştırıyor” dedi. “Bu gizli yaklaşım, saldırganların uzun vadeli erişimi sürdürmesine ve potansiyel olarak hassas bilgileri şüphe yaratmadan sızdırmasına olanak tanıyor.”
Başka bir giriş noktası saldırı taktiği, kod tabanına geniş erişim sağlama yeteneğine sahip geliştirici araçları için kötü amaçlı eklentiler ve uzantılar oluşturmayı içerir, böylece kötü aktörlere program davranışını değiştirme veya kod gibi görünmesini sağlamak için test sürecine müdahale etme fırsatı verir. amaçlandığı gibi çalışıyor.
Araştırmacılar, “İleriye dönük olarak, giriş noktası istismarını hesaba katan kapsamlı güvenlik önlemleri geliştirmek çok önemli” dedi. “Bu riskleri anlayıp ele alarak, hem bireysel geliştiricileri hem de kurumsal sistemleri karmaşık tedarik zinciri saldırılarına karşı koruyarak daha güvenli bir Python paketleme ortamı oluşturmak için çalışabiliriz.”
Bu gelişme, Sonatype’in yıllık Yazılım Tedarik Zincirinin Durumu raporunda, %156’lık bir sıçrama yılı olan Kasım 2023’ten bu yana Java, JavaScript, Python ve .NET için açık kaynaklı ekosistemlerde 512.847’den fazla kötü amaçlı paketin keşfedildiğini ortaya koymasının ardından geldi. -yıl boyunca.
Şirket, “Geleneksel güvenlik araçları genellikle bu yeni saldırıları tespit etmekte başarısız oluyor ve geliştiricileri ve otomatikleştirilmiş yapı ortamlarını son derece savunmasız bırakıyor.” söz konusu. “Bu, mevcut savunmaları atlayarak doğrudan geliştiricileri hedef alan yeni nesil tedarik zinciri saldırıları dalgasıyla sonuçlandı.”