Siber güvenlik araştırmacıları, Visual Studio Kodu pazarında tehdit aktörlerinin daha önce kaldırılmış uzantıların isimlerini yeniden kullanmalarına izin veren bir boşluk keşfettiler.
Yazılım Tedarik Zinciri Güvenlik Kıyafetleri TersiningLabs, bu Mart ayının başlarında işaretlenen diğer iki uzantıya – Ahban.shiba ve Ahban.cychoworld – benzer şekilde işleyen “Ahbanc.shiba” adlı kötü niyetli bir uzatma belirledikten sonra keşfi yaptığını söyledi.
Her üç kütüphane de, kurbanın Windows masaüstünde “TestShiba” adlı bir klasörde dosyaları şifreleyen ve varlıkları belirtilmemiş bir cüzdana yatırarak bir Shiba Inu jetonu talep eden harici bir sunucudan bir PowerShell yükünü almak için bir indirici olarak hareket etmek üzere tasarlanmıştır. Bu çabalar, tehdit oyuncusu tarafından devam eden kalkınma girişimlerini göstermektedir.
Şirket, yeni uzantının (“Ahbanc.shiba”) isminin daha önce tanımlanan diğer iki kişiden (“Ahban.shiba”) neredeyse aynı olduğu için daha derine inmeye karar verdiğini söyledi.
Her uzantının, yayıncı adının ve uzantının adının bir kombinasyonu olan benzersiz bir kimliğe sahip olması gerektiğini belirtmek gerekir (yani, yani,
Ancak, Visual Studio kodu belgelerine göre,
Güvenlik araştırmacısı Lucija Valentić, “Peki, resmi belgelerin yayıncılık kurallarına rağmen aynı adı taşıyan Ahban.shiba ve Ahbanc.shiba nasıl oldu?” Ancak bu davranış, bir yazarın bir uzantıyı yayınladığı senaryolar için geçerli değildir.
Silinen kütüphanelerin adını yeniden kullanma yeteneğinin, 2023’ün başlarında ReversingLabs tarafından gösterildiği gibi Python Paket Dizin (PYPI) deposu için de geçerli olduğunu belirtmek gerekir.
O zamanlar, bir paketin silinmesinin, dağıtım dosyası adlarının (proje adı, sürüm numarası ve dağıtım türünün bir kombinasyonu) şu anda kaldırılmış dağıtımda kullanılanlardan farklı olduğu sürece proje adını “başka herhangi bir pypi kullanıcısı için kullanılabilir hale getireceği” bulunmuştur.
Bununla birlikte, PYPI, PYPI paket adlarının ilk olarak kötü amaçlı paketler tarafından kullanıldığı takdirde kullanılamayacağı bir istisna sunar. Visual Studio kodunun kötü niyetli uzantıların adlarının yeniden kullanılmasını önlemek için benzer bir kısıtlamaya sahip olmadığı görülmektedir.
Sızan siyah basta sohbet günlüklerinde gözlemlendiği gibi, gelişme, tehdit aktörlerinin, onları kurabilecek şüphesiz kurbanlardan fidye talep eden fidye yazılım kütüphaneleri ile açık kaynaklı kayıtları nasıl zehirlemeye baktıklarını göstermektedir. Bu, kuruluşların ve geliştiricilerin güvenli geliştirme uygulamalarını benimsemelerini ve bu ekosistemleri yazılım tedarik zinciri tehditleri için proaktif olarak izlemelerini daha önemli hale getirir.
Valentić, “Bu boşluğun keşfi yeni bir tehdit ortaya koyuyor: kaldırılan herhangi bir uzantının adının yeniden kullanılabileceği ve herkes tarafından.” Dedi. “Bu, meşru ve çok popüler bir uzatma kaldırılırsa, adı kapmak için hazırdır.”
Bulgular ayrıca, şifre, kredi kartları, kripto para birimi cüzdan verileri ve kullanıcı çerezlerini bir demiryoluna aktarabilen Windows sistemlerini hedefleyen bir Google Chrom tarayıcısı bilgi çalma sağladığı tespit edilen sekiz kötü amaçlı NPM paketinin tanımlanmasını takip ediyor.[.]Uygulama URL’si veya bir geri dönüş mekanizması olarak bir Discord Webhook.
Ruer ve NPJun adlı kullanıcılar tarafından yayınlanan paketler aşağıda listelenmiştir –
- ToolKDVV (sürümler 1.1.0, 1.0.0)
- React-SXT (sürüm 2.4.1)
- React-Typex (sürüm 0.1.0)
- React-Typexs (sürüm 0.1.0)
- React-sdk-solana (sürüm 2.4.1)
- React-Yerli Kontrol (Sürüm 2.4.1)
- Revshare-SDK-API (sürüm 2.4.1)
- Revshare-sdk-apii (sürüm 2.4.1)
Bu paketler hakkında dikkate değer olan, veri hırsızlığı ve eksfiltrasyonu kolaylaştırmak için tasarlanmış bir python yükünü açmak için 70 kat gizlenmiş kodun kullanılmasıdır.
JFrog güvenlik araştırmacısı Guy Korolevski, “Açık kaynaklı yazılım depoları, tedarik zinciri saldırılarının bir parçası olarak saldırganlar için ana giriş noktalarından biri haline geldi ve yazılış ve maskelenen, meşru gibi davranan büyüyen dalgalar.” Dedi.
“Geleneksel güvenlikten kaçınmak ve hassas verileri çalmak için tasarlanmış sofistike çok katmanlı kampanyaların etkisi, tüm yazılım bileşenleri için titiz otomatik tarama ve tek bir gerçek kaynağı ile tüm yazılım tedarik zincirinde görünürlüğe sahip olmanın önemini vurgulamaktadır.”