Olayın Özeti
Kötü niyetli bir PyTorch Lightning versiyonu, Python Paket İndeksi (PyPI) üzerinden yayınlanarak tarayıcı, ortam dosyaları ve bulut hizmetlerini hedef alan bir kimlik bilgisi çalma yükü dağıttı. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmakta ve kullanıcıların gizliliklerini riske atmaktadır.
Saldırı Nasıl Çalışıyor?
PyTorch Lightning ‘in 2.6.3 versiyonu, kötü niyetli bir yürütme zinciri içerir ve bu, kütüphane içe aktarıldığında otomatik olarak tetiklenir. Yürütme zinciri aşağıdaki işlemleri yapar:
- Arka planda bir işlem oluşturur.
- GitHub’dan bir JavaScript çalışma zamanı (Bun v1.3.13) indirir.
- 11.4 MB büyüklüğünde ağır şekilde obfuscate edilmiş bir JavaScript yükü (router_runtime.js) çalıştırır.
Microsoft Tehdit İstihbarat ekibi, Defender’ın bu kötü amaçlı rutini müşterilerin ortamlarında tespit edip engellediğini ve paket yöneticisini bilgilendirdiğini belirtmektedir. Bu yük, ShaiWorm olarak adlandırılan bir bilgi çalma kötü amaçlı yazılımdır ve şu veri türlerini hedef almaktadır:
- .env dosyaları
- API anahtarları
- Gizli bilgiler
- GitHub token’ları
- Chrome, Firefox ve Brave tarayıcılarında depolanan veriler
Ayrıca bulut hizmetleri API’leri (AWS, Azure, GCP) ile etkileşimde bulunarak kimlik bilgilerini çalma yeteneğine sahiptir ve rastgele sistem komutlarının çalıştırılmasını destekler.
Etkilenen Sistemler
Kötü niyetli işlemler, aşağıdaki sistemlerde potansiyel olarak zarara neden olabilir:
- PyTorch Lightning 2.6.3 sürümü yüklenmiş sistemler
- Bulut servisleri (AWS, Azure, GCP)
- Tarayıcılar: Chrome, Firefox, Brave
- Yerel .env dosyaları ve API anahtarları
Lightning AI, versiyonu 2.6.3 kullanan kullanıcıların kimlik bilgileri ve diğer gizli bilgilerinin tehlikeye girmiş olabileceği konusunda uyarıda bulunmuştur.
Çözüm ve Korunma
Kullanıcıların bu kötü niyetli yazılımdan korunmak için alması gereken önlemler şunlardır:
- PyTorch Lightning ‘in 2.6.3 sürümünü yükleyenler, tüm gizli anahtarlarını ve token’larını derhal değiştirmelidir.
- Güvenli bir sürüm olarak, 2.6.1 sürümüne geri dönerek uygulamalarını güncellemeleri önerilmektedir.
- Sistemler için güncel bir güvenlik yazılımı kurulu olup olmadığını kontrol edin ve tarayıcılarınızda şüpheli uzantıları devre dışı bırakın.
Sonuç
Bu tür bir tedarik zinciri saldırısı, ciddi güvenlik açıklarına neden olabilmektedir. Kullanıcıların derhal gizli anahtarlarını güncelleyip, PyTorch Lightning’ı güvenli bir sürüme geri döndürmeleri veya alternatif bir çözüm aramaları gerekmektedir. Sistemlerinizi korumak için güncellemeleri takip edin ve güvenlik protokollerine uymayı ihmal etmeyin.
