Gelişen Tehditler: Yazılım Tedarik Zincirinde Malicious Paketler
Son günlerde, npm, Python ve Ruby paket havuzlarında birkaç zararlı paket tespit edildi. Bu paketler, kullanıcıların kripto para cüzdanlarından fonları çalarken, bazıları ise kurulum sonrasında tüm kod tabanlarını silmekte ve Telegram API jetonlarını ele geçirmekte. Tüm bu durum, açık kaynak ekosistemlerinde bulunan tedarik zinciri tehditlerinin çeşitliliğini bir kez daha gözler önüne seriyor.
Tehdit Aktörlerinin Yöntemleri
Checkmarx, ReversingLabs, Safety ve Socket tarafından yayımlanan raporlara göre, bu zararlı paketler, Vietnam hükümetinin Telegram uygulamasını yasaklamasının ardından kısa süre içerisinde yayınlandı. Bu paketler, tehdit aktörleri tarafından Bùi nam, buidanhnam ve si_mobile takma adlarıyla dağıtıldı. Socket araştırmacısı Kirill Boychenko, "Bu paketler, Telegram API’sine gönderilen verileri sessizce ele geçiriyor," dedi. Zararlı paketler, Fastlane eklentisinin neredeyse birebir kopyalarıydı. Fastlane, CI/CD süreçlerinden Telegram kanallarına dağıtım bildirimleri göndermek için yaygın olarak kullanıyordu.
Komut Kontrol Sunucusu ile Verilerin Ele Geçirilmesi
Zararlı yazılım, Telegram mesajlarını göndermek için kullanılan ağ uç noktasını, tehdit aktörünün kontrolündeki bir sunucuya bağlayacak şekilde değiştiriyor. Bu durum, kurban ile Telegram API’si arasında bir insansız hava aracı gibi davranarak rahatsız edici bir veri toplama sürecine dönüşüyor. Bunun yanı sıra, bu zararlı yazılım sadece Vietnam ile sınırlı değil; bu durum, saldırganların Telegram yasağından yararlanarak sahte kütüphaneleri dağıttığını göstermektedir.
İlk Kez Yayımlanan Zararlı Paketler
Socket ayrıca, "xlsx-to-json-lh" adında bir npm paketi buldu. Bu paket, "xlsx-to-json-lc" isimli meşru dönüşüm aracının yanlış yazımıydı ve geliştirici bu paketi içe aktardığında zararlı bir yükü aktifleştiriyordu. "Bu paket, bir komut ve kontrol (C2) sunucusuna kalıcı bir bağlantı kurarak projelerin tamamını silme yeteneğine sahip," diyen güvenlik araştırmacısı Kush Pandya, bunun sonuçlarının yıkıcı olabileceğine dikkat çekiyor.
Belirli bir komut verildiğinde, yazılım tüm kaynak kod dosyalarını, versiyon kontrol verilerini ve proje varlıklarını silerek büyük bir kayba neden olabiliyor. Aynı zamanda, "pancake_uniswap_validators_utils_snipe" ve benzeri zararlı npm paketleri, kullandıkları obfuscation teknikleri ile kurbanların Ethereum veya BSC cüzdanlarındaki fonları çalıyor.
Python Paketlerinde Yeni Tehditler
Python için yayınlanan paketlerin içeriği de dikkat çekici. "semantic-types" paketi başta zararsız görünse de, sonradan yaptığı güncellemeler ile kötü niyetli bir yük içerdiği ortaya çıktı. Hedeflenen Solana ekosistemine yönelik olarak, zararlı paketler Python betik dosyalarını ele geçirme yeteneğine sahip.
Cappership takma adıyla yayımlanan bu paketler, dikkat çekici bir şekilde kullanıcıları kandırmak için görsel olarak çekici README dosyaları kullanıyor. Her yeni anahtar çiftinin üretildiğinde, zararlı yazılım bu anahtarı ele geçirip dış bir sunucuya gönderiyor. Bu durum, geliştiricilerin güvenliğini tehlikeye atan bir zafiyet oluşturuyor.
Typo Squatting: Sürekli Büyüyen Bir Tehdit
Typosquatting, yani yanlış yazma yoluyla saldırılar da önemli bir sorun olmaya devam ediyor. Checkmarx, popüler colorama paketinin taklitlerini tespit etti. Bu paketler, hem Windows hem de Linux sistemlerde etkili olarak veri toplayabiliyor. Bu durum, farklı ekosistemleri hedef alan bir saldırı modelinin ne denli etkili olduğunu gösteriyor.
Yapay Zeka ve Kötü Amaçlı Yazılım
Yapay zeka araçlarının yükselişiyle beraber, bu araçları kötüye kullanmak isteyen saldırganlar da sahneye çıkmaya başladı. PyPI üzerinde yayımlanan "aliyun-ai-labs-snippets-sdk" gibi paketler, basit bir Python Geliştirme Kiti olarak sunulsa da, zararlı yazılımlar içermekteydi. Yalnızca 24 saat içerisinde 1,700 kez indirilmiş olmaları, bu tür tehditlerin ne denli yaygın hale geldiğini göstermektedir.
Zararlı yük, bir PyTorch modelinin içinde gizlenerek, kullanıcının cihazına bilgi sızdırmayı hedefliyor. Özellikle, bir kullanıcının ağ adresi, kuruluş adı gibi bilgileri ele geçirmesi planlanıyor.
Sonuç olarak, yazılım tedarik zinciri tehditleri, sürekli olarak yeni yöntemler ve teknikler ile evrim geçiriyor. Kullanıcıların bu zararlı yazılımlara karşı daha dikkatli ve bilinçli olması, siber güvenlik alanında kritik öneme sahip.
