Python Paket Deposu ve Kötü Amaçlı Yazılımlar
Son dönemde yapılan siber güvenlik araştırmaları, Python Paket Endeksi (PyPI) deposunda bulunan kötü amaçlı bir paketi açığa çıkardı. Bu paket, geliştiricilere ait duyarlı bilgileri toplamak amacıyla tasarlanmış olup, kimlik bilgileri, yapılandırma verileri ve ortam değişkenleri gibi verilere erişim sağlıyor. Bu kötü amaçlı yazılıma "chimera-sandbox-extensions" adı veriliyor ve toplamda 143 kez indirilmiş. Görünüşte Chimera Sandbox adıyla sunulan bir hizmete yardımcı modül olarak gözükse de, gerçek amacı kritik verileri çalmak.
Chimera Sandbox Nedir?
Chimera Sandbox, Singapur merkezli teknoloji şirketi Grab tarafından geçen yılın Ağustos ayında piyasaya sürüldü. Bu servis, makine öğrenimi çözümleri üretecek deneyler ve geliştirmeler yapmayı kolaylaştırmayı hedefliyor. Ancak, bu hizmetin popülaritesi kötü niyetli yazılımlar için bir hedef haline geldi.
Kötü Amaçlı Yazılımın İşleyişi
Kötü amaçlı paket yüklendikten sonra, bir dış domain ile bağlantı kurmaya çalışıyor. Bu domain ismi, bir alan ismi üretim algoritması kullanılarak oluşturuluyor. Bağlantı kurulduğunda, bir kimlik doğrulama tokeni alarak iki aşamalı bir kötü amaçlı yazılım yüklemesini gerçekleştiriyor. Bu süreç, oldukça karmaşık ve hedefe yönelik bir yaklaşım sergiliyor.
Çalınan Veriler
Bu kötü amaçlı yazılım aşağıdaki türlerden veri toplayabiliyor:
- JAMF kayıtları: Jamf Pro tarafından yönetilen bilgisayarlara yüklenen yazılım paketlerinin kayıtları.
- Pod sandbox ortamı: Kimlik doğrulama tokenleri ve git bilgileri.
- CI/CD bilgileri: Ortam değişkenlerinden gelen bilgiler.
- Amazon Web Services (AWS) hesap bilgileri ve tokenleri.
- Genel platform, kullanıcı ve host bilgileri.
Toplanan verilerin türü, özellikle kurumsal ve bulut altyapılarına yönelik bir hedefleme olduğunu ortaya koyuyor. JAMF kayıtlarının toplanması, bu yazılımın Apple’ın macOS sistemlerini de hedefleyebileceğini gösteriyor.
Saldırının Karmaşıklığı
JFrog güvenlik araştırmacıları, bu tür bir saldırının, daha önce karşılaşılan genel açık kaynaklı kötü amaçlı yazılımlardan belirgin bir şekilde ayrıldığını vurguluyor. Jonathan Sar Shalom, "Geliştirme ekiplerinin güncellemelerde dikkatli olması oldukça önemli," diyerek ikazda bulundu. Ayrıca, kötü yazılımların bu denli sofistike hale gelmesi, yazılımların bütünlüğünü korumak adına sürekli güncellemelerin ve proaktif güvenlik araştırmalarının gerekliliğini ortaya koyuyor.
NPM Paketleri ve Kötü Amaçlı İçerikler
Bu açıklama, SafeDep ve Veracode tarafından yayımlanan bazı kötü amaçlı npm paketlerinin tespit edilmesi ile de çakışıyor. Aşağıdaki paketler bu kapsamda incelenmiştir:
- eslint-config-airbnb-compat (676 indirme)
- ts-runtime-compat-check (1,588 indirme)
- solders (983 indirme)
- @mediawave/lib (386 indirme)
Bu paketlerin hepsi, npm deposundan kaldırılmış olsa da, yüzlerce kez indirilmiş durumdalar.
Kötü Amaçlı Javascript Kütüphanesi
Özellikle eslint-config-airbnb-compat, ts-runtime-compat-check adlı bir bağımlılığa sahip. Bu bağımlılık, belirli bir dış sunucu ile iletişim kurarak kötü amaçlı bir yük indirmek için kullanılıyor. Diğer paketlerden solders, yükleme sırasında otomatik olarak çalışacak bir post-install komutu içeriyor. Bu durum, kötü niyetli kodların etkinleştirilmesine yol açıyor.
Kripto Paralar Üzerindeki Tehditler
Socket tarafından yapılan bir rapor, kimlik hırsızları, kripto para drenajcıları, cryptojackers ve clippers gibi tehditlerin kripto para ve blok zinciri geliştirme ekosistemini hedeflediğini belirtiyor. Belirtilen paketlerden bazıları browser kimlik bilgilerini ve kripto cüzdan anahtarlarını toplayabiliyor.
Web3 Geliştirme Tehditleri
Web3 geliştirme sürecinin geleneksel yazılım mühendisliğine entegre olması ile saldırı yüzeyi giderek genişliyor. Finansal motivasyonlara sahip tehdit aktörleri ve devlet destekli gruplar, yazılım tedarik zinciri içindeki sistematik zayıflıkları istismar etmekte ve taktiklerini hızla geliştirmektedir.
Yapay Zeka ve Slopsquatting Tehditleri
Yapay zeka destekli kodlamanın (veya vibe kodlamanın) artışı, slopsquatting adlı yeni bir tehdidin ortaya çıkmasına neden oldu. Bu durum, büyük dil modellerinin var olmayan ama inandırıcı paket isimlerini hayal edebilmesine dayanıyor. Trend Micro’nun raporuna göre, saldırganlar tarafından kullanılabilecek hayali paket isimleri oluşturulması, olası güvenlik tehditlerini beraberinde getiriyor.
Sonuç olarak, yazılım geliştiriciler ve güvenlik ekipleri, bu tür karmaşık tehditlerle başa çıkmak için sürekli bir dikkat ve proaktif önlemler almak zorundadır. Hem mevcut kötü amaçlı yazılımlara karşı hem de olası yeni tehditlere karşı savunma mekanizmalarının sürekliliği, yazılım güvenliğini sağlamak adına kritik öneme sahiptir.
