Python paketleri için açık kaynak kod deposu olan PyPI, son zamanlarda bir dizi kötü amaçlı yüklemeyle dolup taşan kaotik bir durumla karşı karşıya kaldı.
Bu depolar, birçok ücretsiz işletim sistemi, uygulama, programlama kitaplığı ve araç seti sunarak geliştiriciler için paha biçilmez kaynaklar olarak hizmet eder.
Cyble araştırmacılarının daha önce bulduğuna göre, kötü amaçlı paketler genellikle yardımcı yazılım gibi görünerek veya iyi bilinen projeleri taklit ederek adlarını değiştirerek yüklenir.
PyPI paket dağıtımında tanımlanan KEKW kötü amaçlı yazılım türevlerine ilişkin Cyble raporu, “Geçmişte, saldırganların kötü amaçlı yazılım yüklerini dağıtmak için PyPI paketlerini kullandığı birden çok örnekle karşılaştık” dedi.
Raporda, “Kötü amaçlı PyPI paketleri aracılığıyla InfoStealers’ın yayılma sıklığının arttığı kaydedildi” ifadeleri eklendi.
Açık kaynak kod deposu kullanımı
Bu açık kaynak kod deposunun avantajlarının da kendi dezavantajları vardır.
Bu platformların doğası gereği çeşitli siber güvenlik endişeleri ortaya çıkıyor. Yinelenen sorunlardan biri, popüler paketlerin aniden ortadan kaybolmasıdır. Yaygın popülerlik kazanan paketler, çok sayıda projede kritik bileşenler haline gelebilir.
Ne yazık ki, orijinal geliştirici topluluktan çekilmeye karar verir ve projelerini silerse, bunun geçici olarak feci etkileri olabilir. Artık eksik olan pakete dayanan projeler hatalarla karşılaşabilir veya tamamen başarısız olabilir.
Bir diğer önemli sorun, siber suçluların kötü amaçlarla projeleri ele geçirmesidir.
Başkalarının projelerinin şifrelerini ele geçiren saldırganlar, koda kötü amaçlı yazılım enjekte edebilir. Güvenliği ihlal edilmiş pakete güvenen, şüphelenmeyen kullanıcılar bilmeden hileli “güncellemeyi” indirebilir ve bu da yanlışlıkla kötü amaçlı yazılım bulaşmasına neden olabilir.
Bazı durumlarda suçlular, kodun kontrolünü ele geçirmeden önce projeyi yürütenlerin güvenini kazanarak sosyal mühendislik teknikleri kullanır.
Ayrıca, meşru gibi görünen hileli paketler ciddi bir tehdit oluşturur. Siber suçlular genellikle iyi bilinen projelere benzer adlara sahip paketler yükleyerek kullanıcıları yanlışlıkla indirmeleri ve kullanmaları için kandırırlar.
Typosquatting olarak bilinen bu taktik, kullanıcıları farkında olmadan kötü amaçlı yazılım bulaşmış paketleri dağıtmaları için kandırmayı amaçlar. Saldırganlar, orijinal paketi klonlayarak ve kodun derinliklerine kötü niyetli davranışlar ekleyerek, şüphelenmeyen kullanıcıların güvenliğini tehlikeye atabilir.
Açık kaynak kod deposu içindeki iç çatışmaları azaltma
Dış tehditlerin yanı sıra, açık kaynak topluluğu zaman zaman içeriden gelen zorluklarla karşılaşır. Sözde “araştırmacılar”ın huysuz davranışları aksamalara neden oldu.
Bu kişiler, popüler projelere sahte yamalar yüklemek veya tedarik zinciri risklerini hatırlatmak için bubi tuzaklı projeler oluşturmak gibi etik açıdan şüpheli eylemlerde bulunurlar. Bu eylemler, havuz yöneticileri üzerinde gereksiz bir yük oluşturur ve topluluk içindeki güveni olumsuz etkiler.
Yakın tarihli bir Naked Security raporunda, PyPI, bir dizi hileli ve otomatik yüklemeyle karşılaştı.
Saldırının kesin ayrıntıları açıklanmadı, ancak PyPI, kötü amaçlı içerik akışıyla mücadele etmek için yeni kullanıcı kayıtlarını ve proje oluşturmayı geçici olarak askıya aldı. Bu yanıt, daha fazla hasarı önlemeyi ve veri havuzunun kullanıcıları üzerindeki olası etkiyi azaltmayı amaçlıyordu.
Daha iyi bir açık kaynak kod deposu yönetimi ihtiyacı
Olay, geliştiricilerin kod havuzlarıyla etkileşim kurarken dikkatli olmaları ve güvenlik önlemleri almaları gerektiğini vurguluyor.
Geliştiriciler, seçtikleri paketlerin bütünlüğünü sağlamak için indirmeden önce modülün ve yayıncısının orijinalliğini doğrulamalıdır. Yalnızca paket adlarına güvenmek, karışıklığa veya yanlışlıkla yanlış modülün kullanılmasına neden olabilir.
Ek olarak, geliştiriciler geliştirmelerini güncellerken veya sistemlerini oluştururken özen göstermelidir.
Kullanım için onaylamadan önce herhangi bir paketi kapsamlı bir şekilde test etmek ve gözden geçirmek çok önemlidir. Kötü amaçlı yazılım bulaşmaları, güncelleme komut dosyaları aracılığıyla iletilebilir ve bu da tüm güncelleme sürecinin incelenmesini zorunlu hale getirir.
Paketlerinin güvenliğini sağlamak da aynı derecede önemlidir. Geliştiriciler, güçlü parolalara öncelik vermeli, mümkün olduğunda iki faktörlü kimlik doğrulamayı kullanmalı ve bakımcıya yeni gelenlere erişim izni verirken dikkatli olmalıdır.
Sonuç olarak, PyPI, Sourceforge ve GitHub gibi açık kaynak kod havuzları, dünya çapındaki geliştiriciler için paha biçilmez kaynaklar sağlar. Ancak, kötü amaçlı yüklemelerdeki son artış, daha fazla dikkat ve güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Geliştiriciler dikkatli davranarak, paket orijinalliğini doğrulayarak ve sorumlu davranışı teşvik ederek, ilgili riskleri en aza indirirken açık kaynak havuzlarının avantajlarından yararlanmaya devam edebilirler.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.