Acil: GlassWorm Saldırısı ile Python Reposuna Zararlı Yazılım Enjeksiyonu

Giriş

GlassWorm kötü amaçlı yazılım kampanyası, çalınan GitHub token’larını kullanarak yüzlerce Python reposuna kötü amaçlı yazılım ekleyen sürdürülen bir saldırıyı tetiklemektedir. Bu tehdit, yazılım tedarik zincirinin güvenliğini ciddi şekilde tehdit eden bir durum olarak karşımıza çıkmaktadır.

Saldırı Nasıl Çalışıyor?

Yapılan saldırı, aşağıdaki dört adımda gerçekleştirilmektedir:

• GlassWorm kötü amaçlı yazılımının, zararlı VS Code ve Cursor eklentileri aracılığıyla geliştirici sistemlerini ele geçirmesi. Kötü amaçlı yazılım, GitHub token’ları gibi gizli bilgileri çalmak için özel bir bileşen içermektedir.
• Çalınan kimlik bilgileri kullanılarak, ele geçirilen GitHub hesabına ait her bir reposede, setup.py, main.py veya app.py gibi Python dosyalarına zararlı değişikliklerin zorla gönderilmesi.
• Sonrasında, Python dosyasının sonuna eklenen Base64 kodlu yük, sistemin yerel ayarlarının Rusça olup olmadığını kontrol eden GlassWorm benzeri kontroller içermektedir. Eğer Rusça ise, çalışmayı atlar; diğer durumlarda ise, GlassWorm ile ilişkilendirilmiş Solana cüzdanına ait işlemlerle yük URL’sini sorgular.
• Sunucudan, kripto para ve veri çalmak üzere tasarlanmış şifrelenmiş JavaScript içeren ek yüklerin indirilmesi.

Etkilenen Sistemler

Saldırı, aşağıdaki sistemleri hedef almaktadır:

• Python projeleri
• Django uygulamaları
• ML araştırma kodları
• Streamlit panoları
• PyPI paketleri

Çözüm ve Korunma

Kendi sistemlerinizi ve GitHub hesaplarınızı koruma altına almak için aşağıdaki önlemleri almanız önerilmektedir:

• Geliştirici sistemlerinizdeki tüm yazılımları güncelleyin.
• Şüpheli eklentileri kaldırın ve yalnızca güvenilir kaynaklardan eklenti indirin.
• GitHub token’larınızı düzenli aralıklarla değiştirin.
• Hesap bilgilerinizi ve projelerinizi korumak için iki faktörlü kimlik doğrulama etkinleştirin.

Sonuç

Bu kötü amaçlı yazılımdan korunmak için GitHub hesaplarınızı ve geliştirici sistemlerinizi düzenli olarak güncelleyerek koruyunuz. Şüpheli herhangi bir aktivite durumunda hesaplarınızı derhal kontrol edin ve gerekli güvenlik önlemlerini alın.