Giriş
Son günlerde, Python Package Index (PyPI) üzerinde popüler bir paket olan elementary-data‘nın kötü niyetli bir versiyonu yayımlandı. Bu saldırı, geliştiricilerin hassas verilerini ve kripto para cüzdanlarını çalmayı amaçlıyor, bu nedenle durum son derece ciddidir.
Saldırı Nasıl Çalışıyor?
Saldırının hedef aldığı tehlikeli sürüm, 0.23.3 olarak belirlenmiştir. Bu sürüm, paket akışının bir sonucu olarak Docker görüntüsüne yayılmıştır. Saldırgan, projenin GitHub üzerindeki bir pull request’ine kötü niyetli bir yorum bırakarak, GitHub Actions script injection açığını istismar etti. Bu durum, akışın saldırgan kontrolündeki shell kodunu çalıştırmasına neden oldu.
Bu süreçte, akışın GITHUB_TOKEN bilgisi ifşa edildi ve saldırgan, sahte imzalı bir commit ile (v0.23.3) projenin yasal yayın akışını tetikledi. Böylece, geri kapılı bir paket PyPI’ye ve bir kötü niyetli imaj GitHub Container Registry’ye yayımlanmış gibi göründü.
Etkilenen Sistemler
Kötü niyetli sürüm, aşağıdaki verileri hedef alan bir secrets stealer içeren elementary.pth dosyasını barındırmaktadır:
- SSH anahtarları, Git kimlik bilgileri, bulut kimlik bilgileri (AWS/GCP/Azure)
- Kubernetes, Docker ve CI gizliliği
- .env dosyaları ve geliştirici tokenları
- Kripto cüzdan dosyaları (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple)
- Sistem verileri (/etc/passwd, loglar, shell geçmişi)
Araştırmalara göre, bu kötü niyetli yükleme, projenin Docker görüntüsüne de ulaşmıştır. StepSecurity tarafından yapılan incelemelere göre, sürüm pinlenmemiş sistemler geri kapılı sürümü otomatik olarak çekmiştir.
Çözüm ve Korunma
Bu olayı yaşayan kullanıcıların, elementary-data==0.23.3 sürümünü indiren ve etiketleri ghcr.io/elementary-data/elementary:0.23.3 ve :latest olan imajları kullananlar, tüm gizli anahtarlarını değiştirmeli ve ortamlarını bilinen güvenli bir noktadan geri yüklemelidir. Ayrıca, 0.23.4 sürümünü kullanarak temiz bir güncelleme yapmaları şiddetle önerilir.
Aksiyon
Okuyuculara önerimiz, kullanılan tüm sistemlerin güncellemelerini kontrol etmeleri ve elementary-data paketinin son sürümü olan 0.23.4’e geçiş yapmalarıdır. Ayrıca, gizli anahtarların ve diğer hassas verilerin güvenliğinin sağlanması için gerekli teslimat ve rotasyon işlemlerini hemen gerçekleştirmeleridir.
