ReversingLabs araştırmacıları yakın zamanda Python Paket Dizininde (PyPI) xFileSyncerx adlı kötü amaçlı bir açık kaynaklı paketi ortaya çıkardı.
Yaklaşık 300 kez indirilen bu paket, ayrı ayrı kötü amaçlı “silecek” bileşenleri içeriyordu.
Başlangıçta açık kaynaklı bir tedarik zinciri tehdidi olduğu yönündeki endişeleri dile getirdi.
Ancak daha ileri araştırmalar, indiricinin ve silicilerin, bir müşterinin Güvenlik Operasyon Merkezinde (SOC) “kırmızı ekip” sızma testi yürüten bir siber güvenlik uzmanı tarafından oluşturulduğunu ortaya çıkardı.
Bu olay, açık kaynak tehditlerini takip eden ve azaltan firmalar için önemli bir zorluğun altını çiziyor: test paketleri ve düşük kaliteli, düşük dağıtımlı kötü amaçlı paketler gibi gri yazılımların yarattığı “gürültü”.
Açık kaynak ve tedarik zinciri tehditlerine olan ilgi arttıkça, bu düşük sinyal-gürültü oranı meşru tehditlerin tanımlanmasını ve iyileştirilmesini zorlaştırıyor.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Araştırma Metodolojisi
ReversingLabs araştırmacıları, Spectra yazılım tedarik zinciri güvenlik teknolojisi ailesini kullanarak npm, GitHub ve PyPI gibi açık kaynaklı depoları şüpheli ve kötü amaçlı paketlere karşı düzenli olarak tarar.
Önceden tanımlanmış harici sunucularla iletişim veya bilinen kötü amaçlı paketlere bağımlılık gibi kötü amaçlı veya güvenliği ihlal edilmiş kodla ilişkilendirilen özellikleri ararlar.
Yaygın bir tehlike işareti, xFileSyncerx paketinde bulunan kod gizlemedir.
xFileSyncerx Paketi
Nisan ayında yeni oluşturulan bir PyPI hesabı tarafından yayınlanan xFileSyncerx paketi, onu daha fazla incelenmek üzere işaretleyen karartılmış kod içeriyordu.
Gizleme, bir dizi içinde bir dizi karakter olarak saklanan ve bit düzeyindeki değişimlerle daha da karmaşık hale getirilen kötü amaçlı bir indirme URL’sini içeriyordu.
Gizleme kaldırıldığında URL, GitHub deposunda barındırılan bir dosyaya işaret ediyordu: hxxps://raw.githubusercontent.com/d3duct1v/tester-of-trees/main/s2.py.
İkinci Aşama Kötü Amaçlı Yazılım: s2.py
xFileSyncerx tarafından indirilen s2.py dosyası ikinci aşama kötü amaçlı yazılımdır.
GitHub’da d3duct1v kullanıcısı tarafından aktif olarak korunur ve ilk yayınlanmasından bu yana 20’den fazla işleme tabi tutulmuştur.
S2.py kötü amaçlı yazılımı, /home dizinindeki dosyaları Fernet simetrik şifreleme algoritmasını kullanarak, gizli dosyalar ve dizinler hariç şifreler.
Bu hariç tutma muhtemelen SSH işlevselliğinin daha sonraki kötü amaçlı yazılım işlemleri için bozulmadan kalmasını sağlar.
Dosyaları şifreledikten sonra, s2.py kötü amaçlı yazılımı, sabit kodlanmış SSH kimlik bilgilerini kullanarak yerel ağ üzerinden yayılmaya çalışır.
Başarılı olursa, yalnızca silme işlevini içeren üçüncü aşama kötü amaçlı yazılım olan s3.py’yi indirir ve çalıştırır.
Hedefli bir saldırı veya test ortamı önermek için sabit kodlanmış kimlik bilgileri ve IP adresleri kullanıldı.
Kırmızı Takım ‘Çöp’ ve Açık Kaynak Tehdit Gürültüsü
Daha derin bir incelemenin ardından ReversingLabs, d3duct1v hesabının arkasındaki kişiyle temasa geçti ve kişi, xFileSyncerx paketinin kırmızı ekip değerlendirmesinin parçası olduğunu doğruladı.
Paket, müşterinin SOC’sinin şüpheli etkinlikleri ve yanal hareketleri tespit etme yeteneğini test etmek için tasarlandı.
Yazar, ReversingLabs’ın müdahalesinden önce paketi kaldırmayı planladı ve hem xFileSyncerx hem de ilgili kötü amaçlı yazılım daha sonra PyPI ve GitHub’dan kaldırıldı.
xFileSyncerx’in keşfi, açık kaynak kodlu depolarda artan “gürültü” sorununun altını çiziyor.
Tedarik zinciri tehditleri ve saldırıları daha belirgin hale geldikçe, iyi yazılım, kötü amaçlı yazılım ve gri yazılımın karışımı, tehdit değerlendirmesini karmaşık hale getiriyor.
xFileSyncerx gibi kırmızı ekip paketleri bu zorluğu daha da artırıyor ve geliştiriciler ile güvenlik ekipleri arasındaki kafa karışıklığını önlemek için daha net yönergelere ve test ve gri yazılım paketlerinin sınırlarının daha iyi belirlenmesine ihtiyaç duyulduğunu gösteriyor.
xFileSyncerx paketi bir sonraki “Mirai” ya da önemli bir tedarik zinciri saldırısının parçası olmasa da, keşfi bize açık kaynak depolarını izlemenin karmaşıklığını ve zorluklarını hatırlatıyor.
Olay, açık kaynak ekosistemlerinin güvenliğini ve bütünlüğünü sağlamak için test paketlerinin yayınlanması ve tanımlanmasında daha iyi uygulamalar yapılması çağrısında bulunuyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo