Araştırmacılar, resmi üçüncü taraf yazılım deposunda, AWS kimlik bilgilerini ve ortam değişkenlerini herkese açık bir uç noktaya sızdırmak için tasarlanmış bir dizi kötü amaçlı Python paketi keşfetti.
Sonatype güvenlik araştırmacısı Ax Sharma’ya göre paket listesi loglib modülleri, pyg modülleri, pygrata, pygrata-utils ve hkg-sol-utils’i içerir. Paketler ve uç nokta artık kaldırıldı.
Sharma, “Bu paketlerden bazıları ya sırlarınızı okuyan ve sızdıran kodlar içeriyor ya da işi yapacak bağımlılıklardan birini kullanıyor.” söz konusu.
“loglib-modules” ve “pygrata-utils”e enjekte edilen kötü amaçlı kod, AWS kimlik bilgilerini, ağ arabirimi bilgilerini ve ortam değişkenlerini toplamasına ve bunları uzak bir uç noktaya dışa aktarmasına olanak tanır: “hxxp://graph.pygrata[.]com:8000/yükle.”
Sorunlu bir şekilde, bu bilgileri yüzlerce .TXT dosyası biçiminde barındıran uç noktalar, herhangi bir kimlik doğrulama engeli ile güvence altına alınmadı ve bu, web üzerindeki herhangi bir tarafın bu kimlik bilgilerine erişmesine etkin bir şekilde izin verdi.
“Pygrata” gibi paketlerin, yukarıda bahsedilen iki paketten birini bağımlılık olarak kullanması ve kodun kendisini barındırmaması dikkat çekicidir. Tehdit aktörünün kimliği ve nedenleri belirsizliğini koruyor.
Sharma, “Çalınan kimlik bilgileri web’de kasıtlı olarak mı ifşa edildi yoksa kötü OPSEC uygulamalarının bir sonucu mu?” diye sorguladı. “Bu bir tür meşru güvenlik testi olsa bile, şu anda bu etkinliğin şüpheli doğasını ekarte edecek çok fazla bilgi yok.”
Bu, bu tür hileli paketlerin açık kaynak depolarında ilk kez ortaya çıkması değil. Tam bir ay önce, bir yazılım tedarik zinciri saldırısının başka bir örneğinde, ctx ve phpass adlı iki truva atlı Python ve PHP paketi ortaya çıkarıldı.
İstanbul merkezli bir güvenlik araştırmacısı olan Yunus Aydın daha sonra yetkisiz değişikliklerin sorumluluğunu üstlendi ve yalnızca “bu basit saldırının +10 milyon kullanıcıyı ve şirketi nasıl etkilediğini göstermek” istediğini belirtti.
Benzer bir şekilde, Code White adlı bir Alman sızma testi şirketi, ülkedeki müşterilerini hedefleyen, çoğu önde gelen medya, lojistik, ve sanayi firmaları.
