Yeni Tehdit: Kötü Amaçlı NuGet Paketi
Yazılım güvenliği araştırmacıları, Brezilya’nın en büyük kooperatif finansal sistemlerinden biri olan Sicoob’un C# yazılım geliştirme kiti gibi görünerek müşteri kimliklerini ve PFX sertifikalarını çalan kötü amaçlı bir NuGet paketi keşfettiler. Bu durum, hem geliştiriciler hem de son kullanıcılar için ciddi riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
Sicoob.Sdk paketinin 2.0.0 ile 2.0.4 sürümleri, hassas bilgileri dışarı akıtan özellikler içermektedir. Bu paket, Sicoob bankacılık ağı ile işletmelerin kimliğini doğrulamak için kullanılan PFX sertifikalarının yanı sıra, anlık ödemelerin işlenmesi ve dinamik Pix QR kodlarının üretilmesi gibi otomatik bankacılık işlemlerine de olanak tanımaktadır.
Araştırmacı Kirill Boychenko’nun belirttiğine göre, bir geliştirici SicoobClient oluşturduğunda, PFX dosyasını okuyarak şifreler ve bu bilgileri hardcoded üçüncü taraf bir Sentry uç noktasına gönderir. Bu süreç şu şekilde işler:
- PFX dosyası diskten okunur;
- İçeriği Base64 biçiminde kodlanır;
- Tedarik edilen müşteri kimliği, PFX şifresi ve kodlanmış PFX verisi gönderilir.
Ayrıca, paket, Boleto API yanıtlarını yakalamak için farklı bir Sentry yolu kullanmaktadır. Brezilya’da yaygın bir nakit ödeme yöntemi olan Boleto, işlem detayları, ödeme durumu, tutarlar gibi hassas bilgileri potansiyel olarak açığa çıkarabilir.
Etkilenen Sistemler
Bu kötü amaçlı paket 500 kez kadar indirildi ve ayrıca sahte bir GitHub deposu üzerinden dağıtıldı. Öte yandan, özellikle PFX materyalini ele geçirmenin son kullanıcılar açısından dolaylı riskler oluşturabileceği vurgulanmaktadır; bu durum daha fazla finansal verinin sızdırılmasına veya ödeme istismarıyla sonuçlanabilir.
NuGet, bu paketi sorumlu bir şekilde bildirilmesi sonrasında engelledi fakat “sicoob” adlı profil, toplamda yaklaşık 6,000 indirme olarak kaydedilen başka 11 NuGet paketini de listelemiştir.
Çözüm ve Korunma
Sicoob.Sdk paketini kuran organizasyonların, derhal aşağıdaki adımları atması önerilmektedir:
- Paket kaldırılmalıdır;
- PFX materyali tehlikeye girmiş olarak değerlendirilmelidir;
- Tehlikeye giren PFX sertifikaları değiştirilmelidir;
- PFX şifreleri değiştirilmelidir;
- Etkilenen müşteri kimlikleri değiştirilmelidir veya devre dışı bırakılmalıdır;
- Sicoob kimlik doğrulama ve API günlükleri, olağandışı aktiviteleri kontrol etmek amacıyla denetlenmelidir.
Sonuç olarak, bu tür tehditlere karşı dikkatli olunması ve yazılım bağımlılıklarının özenle yönetilmesi gerekmektedir. Geliştiriciler, yeni paketleri kullanmadan önce emin olmalı ve güvenilir kaynaklardan indirme gerçekleştirmelidir.
