Etkin bir kötü amaçlı yazılım kampanyası, Python Paket Dizini’ni (PyPI) ve Python ve JavaScript için npm havuzlarını, bir fidye yazılımı türü dağıtan yazım hatası yapılmış ve sahte modüllerle hedefleyerek, yazılım tedarik zincirlerini etkileyen en son güvenlik sorununu işaret ediyor.
Yazım hatası yapılmış Python paketlerinin tümü popüler olanın kimliğine bürünür. istek kitaplığı: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr ve tequests.
Göre filumhileli paketler, kurbanın işletim sistemine ve mikro mimarisine bağlı olarak uzak bir sunucudan Golang tabanlı fidye yazılımı ikili dosyasını alan kaynak kodu yerleştirir.
Başarılı uygulama, kurbanın masaüstü arka planının, ABD Merkezi İstihbarat Teşkilatı’na (CIA) ait olduğu iddia edilen, aktör kontrollü bir görüntüye dönüştürülmesine neden olur. Ayrıca dosyaları şifrelemek ve kripto para cinsinden 100 dolarlık bir fidye talep etmek için tasarlanmıştır.
Saldırının PyPI ile sınırlı olmadığının bir işareti olarak, saldırganın npm’de beş farklı modül yayınladığı görüldü: discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd ve telnservrr.
Phylum CTO’su Louis Lang, “Saldırgan ayrıca benzer şekilde davranan birkaç npm paketi yayınladı,” dedi ve kitaplıkların her birinin fidye yazılımını dağıtmak için aynı kodun JavaScript eşdeğerini içerdiğini ekledi.
Bulgular ReversingLabs olarak geliyor açıkta 25 Eylül 2022 civarında başladığına inanılan, yazılım geliştiricileri hedef alan devam eden bir tedarik zinciri saldırısının parçası olarak W4SP Stealer kötü amaçlı yazılımının değiştirilmiş sürümlerini zorlayan 10 ek PyPI paketinden oluşan bir dilim.
Hepsi bu değil. Bu ayın başlarında, İsrail merkezli yazılım tedarik zinciri güvenlik firması Legit Security, yasal yapıları zehirlemek için GitHub Eylemlerini kötüye kullanan bir Rust deposuna (“rust-lang”) karşı yeni bir saldırı tekniği gösterdi.
Derleme yapıları, dağıtım paketleri, WAR dosyaları, günlükler ve raporlar gibi derleme işlemi tarafından oluşturulan dosyalardır. Aktör, gerçek modülleri trojenleştirilmiş sürümlerle değiştirerek hassas bilgileri çalabilir veya tüm alt kullanıcılarına ek yükler sağlayabilir.
Legit Security araştırmacısı Noam Dotan, “Güvenlik açığı, depo kodunun oluşturulmasından ve test edilmesinden sorumlu olan ‘ci.yml’ adlı bir iş akışında bulundu.” söz konusu teknik bir yazıda.
Bir saldırgan, bu zayıflıktan yararlanarak GitHub iş akışını kandırarak kötü amaçlı yazılım bulaşmış bir yapıyı çalıştırabilir ve havuz dalları, çekme istekleri, sorunlar ve yayınlarla etkin bir şekilde kurcalamayı mümkün kılar.
Rust programlama dilinin koruyucuları ele alinan 15 Eylül 2022’deki sorumlu açıklamanın ardından 26 Eylül 2022’deki sorun.
