Python Paket Dizini (PyPI) deposunun yöneticileri paketi karantinaya aldı “aiocpa” Telegram aracılığıyla özel anahtarları sızdırmak için kötü amaçlı kod içeren yeni bir güncellemenin ardından.
Söz konusu paket tarif edildi senkron ve asenkron olarak Kripto Ödeme API’si müşteri. İlk olarak Eylül 2024’te piyasaya sürülen paket, 12.100 kez indirildi bugüne kadar.
Python kütüphanesini karantinaya alarak istemciler tarafından daha fazla kurulum yapılmasını önler ve bakımcıları tarafından değiştirilemez.
Siber güvenlik ekibi Phylum Paylaşıldı Geçen hafta yazılım tedarik zinciri saldırısının ayrıntıları, paketin yazarının, kütüphanenin bilgilerini korurken PyPI’ye kötü amaçlı güncelleme yayınladığını söyledi. GitHub deposu Tespit edilmekten kaçınmak için temizleyin.
Hileli güncellemenin arkasında orijinal geliştiricinin mi olduğu yoksa kimlik bilgilerinin farklı bir tehdit aktörü tarafından mı ele geçirildiği şu anda belli değil.
Kötü amaçlı etkinlik işaretleri ilk olarak kitaplığın 0.1.13 sürümünde tespit edildi; bu sürüm, paket yüklendikten hemen sonra gizlenmiş bir kod bloğunun kodunu çözmek ve çalıştırmak için tasarlanan Python komut dosyası “sync.py”de bir değişiklik içeriyordu.
Phylum, “Bu özel blob yinelemeli olarak 50 kez kodlanıyor ve sıkıştırılıyor” dedi ve kurbanın Crypto Pay API tokenını bir Telegram botu kullanarak yakalamak ve iletmek için kullanıldığını ekledi.
Crypto Pay’in bir ödeme sistemi olarak tanıtıldığını belirtmekte fayda var. Kripto Botu (@CryptoBot) kullanıcıların kripto ödemeleri kabul etmesine ve API’yi kullanarak kullanıcılara para aktarmasına olanak tanır.
Bu olay önemlidir, çünkü sadece ilgili depoları kontrol etmek yerine paketin kaynak kodunu indirmeden önce taramanın önemini vurgulamaktadır.
“Burada kanıtlandığı gibi, saldırganlar ekosistemlere kötü amaçlı paketler dağıtırken kasıtlı olarak temiz kaynak depolarını koruyabilirler” diyen şirket, saldırının “bir paketin önceki güvenlik kaydının, onun sürekli güvenliğini garanti etmediğini hatırlatma işlevi gördüğünü” de sözlerine ekledi.
Güncelleme
PyPI yöneticileri ve siber güvenlik firması Tersine Çevirme Laboratuvarları Kötü amaçlı yazılım yazarının vurgulamasının yanı sıra, kampanyaya ilişkin kendi analizlerini de yayınladılar. mülkiyeti aktarmaya yönelik başarısız girişimler Terk edilmiş bir paket olduğunu iddia ettikleri şey. aiocpa paketi o zamandan beri resmi olarak PyPI deposundan kaldırıldı.
ReversingLabs araştırmacısı Karlo Zanki, “Npm ve PyPI gibi açık kaynak kod depolarını hedef alan saldırıların çoğunluğunun aksine, aiocpa’nın arkasındaki kötü niyetli aktörler meşru görünen paketlerin kimliğine bürünmüyor veya yazım hatası yapmıyordu.” dedi.
“Bunun yerine, daha sonra kötü amaçlı bir sürüm güncellemesi yoluyla tehlikeye atılacak bir kullanıcı tabanını sürekli olarak çekmek için kendi kripto istemci aracını yayınladılar.”
