Python Paket Dizin (PYPI) deposunu hedefleyen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı ve siber suçlular, hassas bulut altyapısı kimlik bilgilerini ve kurumsal verileri çalmak için tasarlanmış silahlandırılmış paketleri dağıttı.
“Chimera-sandbox-uzantıları” olarak tanımlanan kötü amaçlı paket, bireysel kullanıcılardan ziyade özel olarak kurumsal ortamları hedefleyen yeni bir tedarik zinciri saldırıları türünü temsil ediyor.
Saldırı, şüpheli olmayan geliştiriciler Chimera-sandbox ortamı için meşru bir uzatma gibi görünen şeyleri yüklediklerinde başlar.
.png
)
.webp)
Kurulum üzerine, kötü amaçlı yazılım, sofistike bir etki alanı oluşturma algoritması kullanarak komut ve kontrol sunucularına bağlanan karmaşık bir çok aşamalı saldırı dizisi başlatır.
Geniş bir ağ oluşturan geleneksel kötü amaçlı yazılımların aksine, bu tehdit oyuncusu özellikle kurumsal ve bulut altyapı ortamlarına odaklanarak gelişmiş hedefleme yeteneklerini gösterir.
JFrog analistleri, açık kaynaklı depoların rutin izlenmesi sırasında kötü niyetli paketi belirledi ve hemen kaldırma için PYPI bakımcılarına bildirdi.
Güvenlik araştırmacıları, kötü amaçlı yazılımın birincil hedefinin AWS kimlik doğrulama jetonları, CI/CD boru hattı kimlik bilgileri, JAMF yapılandırma verileri ve Zscaler ana bilgisayar ayarları dahil olmak üzere son derece hassas bilgilerin hasat edilmesini içerdiğini belirtti.
.webp)
Bu hedeflenen yaklaşım, saldırganların kurumsal güvenlik mimarileri ve bulut dağıtım modelleri hakkında derin bir anlayışa sahip olduklarını göstermektedir.
Çalınan veriler daha sonra sunucu tarafı mantığının, daha fazla kötü niyetli etkinlikler için ek yüklerin dağıtılıp dağıtılmayacağını belirlediği saldırgan kontrollü sunuculara iletilir.
Bu modüler yaklaşım, saldırganların tepkilerini tehlikeye atılan ortamların değerine ve yapılandırmasına göre özelleştirmelerine olanak tanır, bu da tehdidi önemli bulut altyapısı yatırımları olan kuruluşlar için özellikle tehlikeli hale getirir.
Alan üretimi algoritması ve enfeksiyon mekanizması
Kötü amaçlı yazılım, tutarlı bir tohum değeri kullanarak sözde kanallı alan adları üreten sofistike bir charstream sınıfı kullanır.
Algoritma, 0x1337 tohum değeri dahil olmak üzere başlatma parametreleriyle başlar ve chimerasandbox.workers.dev altyapısı altında on potansiyel komut ve kontrol alanı oluşturur.
class CharStream:
def __init__(self, seed: int = 0x1337, width: int = 10):
self.S, self.width = list(range(256)), width
self.state = seed & 0xFFFF
self.charset = string.ascii_lowercase + string.digitsAlgoritma, karmaşık bit manipülasyonu ve dizi karıştırma yoluyla “TWDTSGC8IURYD0IU.Chimerasandbox.workers.Ev/Auth” gibi alanlar üretir ve psödorandomizasyon yoluyla operasyonel güvenliği korurken tutarlı alan üretimi sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin