Giriş
Dijital dünyada güvenlik tehditleri sürekli olarak evrim geçiriyor. Hades isimli yeni bir kötü amaçlı yazılım kampanyası, özellikle bilimsel ve makine öğrenimi geliştirme paketlerine saldırarak dikkatleri üzerine çekiyor. Bu tür saldırılar, yazılımın tedarik zincirindeki açıklardan faydalanarak yüksek performans talep eden sunucu sistemlerini hedef alıyor. Hades, basit ama etkili yöntemlerle kullanıcıların dikkatinden kaçmayı başarıyor. Başarılı bir şekilde gizlenmesi, veri merkezlerindeki yazılım güvenliğini tehlikeye atıyor.
Adversary Attack’ler ve Yöntemleri
Bu kötü amaçlı yazılım, yapay zeka botlarının taramalarını yanıltmak için “prompt-injection” saldırılarını kullanıyor. JavaScript dosyalarında yer alan kod yorumları, botlara güvensiz modda çalıştıklarını bildirerek bu botların dikkatini dağıtıyor. Yani, bot, dosyadaki zararlı yükün bulunduğu kısmı tararken aslında duraksıyor. Bu, botların failsafe (güvenlik) mekanizmalarının yanlış kullanımıyla mümkün oluyor ve botlar kötü kodu göz ardı ediyor.
Gelişen Yüksek Performanslı Hedefler
Hades kampanyası, yalnızca CI/CD kimlik bilgilerini çalmanın ötesine geçerek, npm, PyPI, RubyGems ve Kubernetes gibi yazılım geliştirme platformlarından da veri çalmaya başladı. Hedef kitlesi olarak bilim insanlarını ve yapay zeka mühendislerini seçmesi, sunucu sistemlerindeki yüksek performans taleplerini göz önünde bulundurması bakımından dikkat çekici. Bu halde, mühendislerin çoğu, yazılım güvenliği uygulamalarını yeterince benimsememekte ve teslim ettikleri paketlerin doğruluğunu sorgulamamaktadır.
Gelişmiş Soğutma Çözümleri ve Yazılım Analizleri
Hades, farklı mevcudiyetlerle birlikte, zararlı kodların yüklenmesini ve çalıştırılmasını engelleyecek şekilde tasarlanan çeşitli mekanizmalar içermektedir. Kötü amaçlı yazılım, önceden derlenmiş ikili dosyalar kullanarak performans odaklı Python paketlerinde gizleniyor. Ayrıca, yükleme mekanizmaları ve yükler ayrı paketlerde bulunabilir, bu da yaygın tarayıcıların çoğunlukla atladığı bir durum. Hades, bu split (bölütlenmiş) yapısıyla, istemcinin kodunda Python’un “import” ifadesiyle yalnızca gerçekten çalıştırıldığında zararlı yükleri etkinleştirerek taramaları atlatıyor.
Kötü Amaçlı Yazılımın Dağılması
Hades, yalnızca kimlik bilgilerini çalmanın ötesine geçerek, çok sayıda popüler açık kaynak depolarından önemli bilgileri çalmaya başladı. Şu an itibarıyla, 37 Python ve 106 JavaScript paketi, bu genişletilmiş saldırının parçası olarak tanımlanmıştır. Kullanıcılar, zulmü engellemek için temel güvenlik uygulamalarına dikkat etmedikçe, bu tür kötü amaçlı yazılımların yayılması devam edecektir.
Sonuç
Veri merkezi güvenliği konusunda endişe verici bir durum olan Hades saldırıları, gelişen yüksek performans ve işlemci mimarinin tehdit altında olduğunu gösteriyor. Güvenlik standartlarının yükseltilmesi ve yazılım geliştirme süreçlerinde dikkatli olunması, bu tür saldırıların önlenmesi için kritik önem taşımaktadır.
Kaynak: Tom’s Hardware verileriyle derlenmiştir.
