Giriş
Siber güvenlik alanında tedarik zinciri saldırıları giderek daha yaygın hale geliyor ve bu durum, büyük tehditler doğuruyor. Son olarak, popüler Python paketi Lightning üzerinden iki kötü amaçlı sürüm yayınlanarak kimlik bilgisi hırsızlığı gerçekleştirildi.
Saldırı Nasıl Çalışıyor?
Güvenlik kaynaklarına göre; 2.6.2 ve 2.6.3 sürümlerinde bulunan kötü amaçlı yazılım, PyPI deposuna sızarak yayımlandı. Bu saldırı, Mini Shai-Hulud isimli daha önce gerçekleşmiş bir olaya bağlanıyor ve SAP ile ilgili npm paketlerini hedef alıyor. Socket tarafından bildirildiğine göre, kötü amaçlı paket, otomatik olarak çalışacak bir _runtime dizini içeriyor ve bu dizi, JavaScript yükleyicisi ve gizlenmiş bir yük içeriyor.
Etkilenen Sistemler
Aşağıdaki sürümler saldırıdan etkilenmiştir:
- Lightning Python paketi sürümleri: 2.6.2 ve 2.6.3
Proje yöneticileri tarafından, Python Package Index (PyPI) deposunda bu sürümler karantina altına alınmış durumda. Saldırı sırasında, GitHub token’ları, yetkisiz bir şekilde gönderilen “router_runtime.js” yükü ile kullanılmak üzere doğrulanıyor.
Çözüm ve Korunma
Yapılandırılması gereken adımlar şunlardır:
- Lightning versiyonları 2.6.2 ve 2.6.3 sistemlerden kaldırılmalıdır.
- En son temiz versiyon olan 2.6.1 sürümüne geçiş yapılmalıdır.
- Etki altındaki ortamlarda kimlik bilgileri değiştirilmeli ve döngüsel olarak yenilenmelidir.
- Ayrıca, üzerinde çalıştığınız diğer yazılımlarda olası uzaktan erişim veya değişiklikleri tespit etmek için detaylı inceleme yapılmalıdır.
Aksiyon
Okuyucuların derhal Lightning sürümlerini güncelleyerek, kötü amaçlı yazılımların etkisini azaltmaları gerekmektedir. Ayrıca, sistemlerdeki tüm güvenlik açıklarını kapatmak için portları kapatmayı ve güncellemeleri kontrol etmeyi unutmamalıdır.
Siber tehditlerin giderek artan bir hızla yayıldığı günümüzde, güncel olmak ve proaktif önlemler almak tüm yazılımcılar için kaçınılmaz bir gereklilik haline gelmiştir.
