Aynı PyPI Paketlerini Kullanan Tedarik Zinciri Saldırısı Tespit Edildi

   Ocak 16, 2023  Posted in ThecyberExpress


Araştırmacılar, üç PyPI paketine gömülü yeni bir sıfır gün saldırısı buldular.

Fortiguard Labs ekibindeki araştırmacılar, açık kaynaklı bir ekosistemi izleyerek bir sıfırıncı gün saldırısı keşfettiler. Saldırı, Lolip0p adlı bir yazar tarafından yayınlanan Colorslib, libhttps ve httpslib adlı üç PyPI paketine gömüldü. Yazar, saldırı PyPI paketlerinin yayınlanma tarihini ayarlayarak depoya katıldı.

Colourslib ve httpslib PyPI paketlerini kullanan tedarik zinciri saldırısı 7 Ocak’ta yayınlandı ve meşru görünmek için proje açıklamasını kendi avantajlarına kullandı. Renkleri işleyebilme, kutular oluşturabilme, test hizalamasını değiştirebilme vb.

httpslib proje açıklamasını içeren ekran görüntüsü

libhttps 4.6.12, ‘Lolip0p’nin belirttiği, iş parçacığı güvenliği, bağlantı havuzu oluşturma, istekleri yeniden denemek için yardımcılar ve HTTP yeniden yönlendirmeleriyle başa çıkma vb. gibi belirli özelliklerle birlikte geldi. İkna edici açıklaması, Python için güçlü bir HTTP istemcisi olduğunu okur. Python ekosisteminin zaten urllib3 kullandığını ve başkalarının da kullanması gerektiğini söyledi.

Tüm bu PyPI paketlerinin sürümlerinin kötü amaçlı olduğu ve benzer bir komut dosyası olan setup.py’yi paylaştığı bulundu. İndirme URL’si, birkaç araştırmacı tarafından tespit edilmemesine rağmen, bazı satıcılar tarafından kötü niyetli bir yürütülebilir dosya olarak gösterildi.

Tedarik zinciri saldırısını anlama

Python’da aynı pypi paketlerini kullanan bu saldırı için Powershell URL’si https://dl idi.[.]açılan kutu[.]com/s/mkd3enun97s8zag/Oxzy[.]exe?dl=0

Ve VirusTotal girişi, ikili exe’ye (SHA 256) sahip olduğunu gösterdi. 8dc8a9f5b5181911b0f4a051444c22e12d319878ea2a9eaaecab9686e876690b

update.exe kodunu çalıştırdıktan sonra, aşağıda gösterildiği gibi birkaç dosya %USER%\AppData\Local\Temp\onefile_%PID_%TIME%’ klasörüne kaydedilir:

Tedarik Zinciri Saldırısı
(Kaynak: Fortinet)

Kötü amaçlı yürütülebilir dosyalar şunlardı:

  1. Oxzy.exe: Malicious_Behavior.SB
  2. update.exe: PossibleThreat.PALLASNET.H
  3. SearchProtocolHost.exe: Malicious_Behavior.SB

Uzlaşma göstergeleri

  1. Oxzy.exe

8dc8a9f5b5181911b0f4a051444c22e12d319878ea2a9eaaecab9686e876690b

  1. güncelleme.exe

293a3a2c8992636a5dba58ce088feb276ba39cf1b496b336eb7b6f65b1ddb757

  1. SearchProtocolHost.exe

123fd1c46a166c54ad66e66a10d53623af64c4b52b1827dfd8a96fdbf7675638

  1. Kötü amaçlı URL’ler

https://dl[.]açılan kutu[.]com/s/mkd3enun97s8zag/Oxzy%5B.%5Dexe?dl=0

Aynı yazar, bu tedarik zinciri saldırısı için aynı koda sahip ayrı Python paketleri yayınladı. Araştırmacıların işaret ettiği dosyalardan biri, birkaç satıcı tarafından kötü amaçlı olarak algılandı. Şuydu (SHA256): 123fd1c46a166c54ad66e66a10d53623af64c4b52b1827dfd8a96fdbf7675638.

Kötü amaçlı URL’ler Fortinet tarafından engellenmiş olsa da, araştırmacılar, meşru görünen bir ürün açıklaması göstermesine rağmen kullanıcıları görece daha yeni kullanıcılar tarafından yazılan kodları çalıştırırken dikkatli olmaya çağırdı. Kısa sürede birden fazla paket yayınlamanın bir yazarı daha güvenilir kılmadığını da açıkladılar.





Source link