Kötü niyetli aktörler, geliştirici sistemlerine kötü amaçlı yazılım kırpıcı bulaştırmak amacıyla resmi Python Paket Dizini (PyPI) deposunda 451’den fazla benzersiz Python paketi yayınladı.
Kütüphaneleri tespit eden yazılım tedarik zinciri güvenlik şirketi Phylum, devam eden etkinliğin ilk olarak Kasım 2022’de açıklanan bir kampanyanın devamı niteliğinde olduğunu söyledi.
İlk vektör, diğerleri arasında güzel çorba, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana ve tensorflow gibi popüler paketleri taklit etmek için yazım hatası kullanmayı gerektirir.
Phylum geçen yıl yayınlanan bir raporda, “Kurulumdan sonra, sisteme kötü amaçlı bir JavaScript dosyası düşüyor ve herhangi bir web tarama oturumunun arka planında yürütülüyor” dedi. “Bir geliştirici bir kripto para birimi adresini kopyaladığında, adres panoda saldırganın adresiyle değiştirilir.”
Bu, Windows AppData klasöründe bir Chromium web tarayıcı uzantısı oluşturarak ve buna sahte Javascript ve kullanıcıların panoya erişme ve panoyu değiştirme izinlerini isteyen bir manifest.json dosyası yazarak elde edilir.
Hedeflenen web tarayıcıları arasında, “–load-extension” komut satırı anahtarı kullanılarak başlatıldığında eklentiyi otomatik olarak yüklemek için tarayıcı kısayollarını değiştiren kötü amaçlı yazılımla birlikte Google Chrome, Microsoft Edge, Brave ve Opera yer alır.
Python paketlerinin en son seti, aynı değilse de benzer bir işleyiş şekli sergiler ve kötü amaçlı yazılımın yerini alan pano tabanlı bir kripto cüzdanı olarak işlev görecek şekilde tasarlanmıştır. Değişen, JavaScript kodunu gizlemek için kullanılan şaşırtma tekniğidir.
Saldırıların nihai amacı, güvenliği ihlal edilmiş geliştirici tarafından başlatılan kripto para birimi işlemlerini ele geçirmek ve bunları amaçlanan alıcı yerine saldırganın kontrolündeki cüzdanlara yönlendirmektir.
Phylum, “Bu saldırgan, otomasyon yoluyla pypi’deki ayak izini önemli ölçüde artırdı,” dedi. “Ekosistemi bunun gibi paketlerle doldurmaya devam edeceğiz.”
Bulgular, yalnızca Ocak 2023’te npm kayıt defterinde 691 kötü amaçlı paket ve PyPI’de 49 kötü amaçlı paket bulan Sonatype raporuyla örtüşüyor.
Gelişme bir kez daha, geliştiricilerin tedarik zinciri saldırılarından karşı karşıya kaldıkları artan tehdidi gösteriyor; rakipler, kullanıcıları hileli paketleri indirmeleri için kandırmak için yazım hatası yapma gibi yöntemlere güveniyor.