“aiocpa” Python Paketinin Kripto Para Bilgi Hırsızı Olduğu Ortaya Çıktı

   Aralık 5, 2024  Posted in HackRead


ÖZET

  • Kötü Amaçlı Paket Bulundu: ReversingLabs ortaya çıktı aiocpakötü amaçlı güncellemeler yoluyla kripto cüzdanlarını hedef alan bir Python paketi.
  • Benzersiz Saldırı: Bilgisayar korsanları, zararlı kod yerleştirmeden önce meşru görünen bir kripto aracı yayınlayarak güven oluşturdular.
  • Yapay Zeka Tespiti: ReversingLabs’ Spectra Güvencesi gizli kötü amaçlı davranışları tespit etmek için makine öğrenimini kullanarak paketi işaretledi.
  • Yapılan İşlem: PyPI daha fazla zararı önlemek için paketi bildirdi, karantinaya aldı ve kaldırdı.
  • Temel Çıkarımlar: Düzenli güvenlik kontrolleri, makine öğrenimi araçları ve dikkatli bağımlılık yönetimi, açık kaynak tehditleriyle mücadelede hayati öneme sahiptir.

Önde gelen tehdit istihbaratı ve siber güvenlik firması ReversingLabs’ın (RL) makine öğrenimi tabanlı tehdit avlama sistemi, yakın zamanda meşru görünümlü bir pakette kötü amaçlı kod tespit etti. aiocpa. RL’nin Hackread.com ile paylaştığı araştırmasına göre bu paket, kripto para cüzdanlarını tehlikeye atmak için tasarlandı.

RL, iki paket versiyonunun diferansiyel analizi yoluyla bu saldırganların kendilerine özgü kampanyalarını nasıl yürüttüklerini tespit edebildi. Senkron ve asenkron Crypto Pay API istemcisi olan paket 12.100 kez indirildi.

Araştırma sırasında araştırmacılar bu kampanyayı benzersiz kılan şeyin ne olduğunu belirlediler. Npm ve PyPI gibi açık kaynak kod depolarını hedef alan çoğu saldırının aksine, bu kampanyada tehdit aktörleri, büyüyen kullanıcı tabanıyla kademeli olarak güven oluşturmak için kendi kripto istemci araçlarını yayınladı. Daha sonra saldırdılar. aiocpa paketine (sürüm 0.1.13 ve üzeri) yapılan görünüşte zararsız bir güncelleme, kötü amaçlı kod enjekte etti.

Araştırmacılar, “Kötü niyetli aktörün, muhtemelen yerleşik bir kullanıcı tabanına erişim sağlamak için pay adlı mevcut bir PyPI projesini devralmaya çalıştığı gözlemlendi veya saldırgan, böyle bir paket adının daha fazla kurban çekeceğini tahmin etti” dedi.

Makine Öğrenimi Sorunu Nasıl Tespit Etti?

RL, Spectra Assure adı verilen makine öğrenimi tabanlı bir tehdit avlama sistemi kullanıyor. Bu sistem, açık kaynak paketlerini şüpheli davranışlara karşı sürekli olarak tarar. aiocpa durumunda Spectra Assure, daha önce karşılaşılan kötü amaçlı yazılımlara benzerliği nedeniyle 21 Kasım 2024’te güncellenen paketi işaretledi.

Eylül 2024’e kadar yayınlanan çok sayıda sürüme sahip aiocpa paketindeki gizlenmiş kod daha da ortaya çıktı. Bu kod, şifreleme katmanlarının arkasına gizlenmişti ve kripto ticaret jetonları gibi hassas bilgileri çalmak için tasarlanmıştı. Çalınması halinde bu veriler kurbanların kripto para cüzdanlarını boşaltmak için kullanılabilir.

Araştırmacılar blog yazısında uygulama güvenlik testi (AST) araçlarının bu saldırıyı yakalayamayacağını belirtti. Kötü amaçlı kod, genellikle meşruiyet açısından incelenecek olan, başvurulan GitHub deposunda mevcut değildi. Spectra Assure gibi gelişmiş araçların hayati önem taşımasının nedeni budur. Kod davranışını analiz ederek geleneksel yöntemlere göre daha derin bir incelemeye olanak tanırlar.

Kötü amaçlı paket ve arkasındaki GitHub hesabının PyPI ana sayfası (Ekran görüntüsü: RL)

RL, bu kötü amaçlı paketi kaldırılmak üzere Python Paket Dizinine (PYPI) bildirdi ve bu paket daha sonra 25 Kasım’da bloglarında yayınlandı. Phylum’daki araştırmacılar, RL’nin keşfini rapor ederek kötü amaçlı kampanyanın benzersizliğini vurguladı.

Olay, açık kaynaklı yazılım tehditlerinin gelişen doğasını vurgulayarak düzenli güvenlik değerlendirmeleri yapmayı ve güçlü koruma için makine öğrenimi tabanlı tehdit avlama araçlarını dikkate almayı gerekli kılıyor. Üçüncü taraf kodların, araçların, paketlerin ve uzantıların düzenli olarak değerlendirilmesi de çok önemlidir.

Ayrıca PyPI kullanıcıları, ciddi bir tedarik zinciri enfeksiyon vektörü olan paket adının devralınması konusunda dikkatli olmalıdır. Bir proje ödeme bağımlılığı bir tehdit aktörü tarafından devralınırsa, PyPI’ye yeni bir kötü amaçlı sürüm yayınlanabilir. PyPI güvenlik ekibi, kullanıcılara istenmeyen güncellemeleri önlemek için karmaları kullanarak bağımlılıkları ve sürümleri sabitlemelerini tavsiye ediyor.

  1. Python Yürütülmesini Etkinleştiren ChatGPT Korumalı Alan Kusurları
  2. PyPI, Python Paketleri Aracılığıyla Sistemlere Sızmak İçin Kullanılıyor
  3. PythonHer Yerde Bulut Platformu Fidye Yazılımını Barındırmak İçin Kötüye Kullanılıyor
  4. Qubitstrike Kötü Amaçlı Yazılım, Cryptojacking için Jupyter Notebook’ları Etkiliyor
  5. VMCONNECT: Python Araçlarını Taklit Eden Kötü Amaçlı PyPI Paketi
  6. MSI yükleyicisi aracılığıyla sunulan Jupyter bilgi hırsızlığının yeni sürümü





Source link