JFrog Güvenlik Araştırma Ekibi, Python yazılımı için yaygın olarak kullanılan bir depo olan Python Paket Dizini’nde (PYPI) “Chimera-sandbox-extensions” adlı sofistike bir kötü niyetli paket ortaya çıkardı.
“Chimerai” olarak tanımlanan bir kullanıcı tarafından yüklenen bu paket, Chimera-sandbox ortamının kullanıcılarını hedefleyerek, AWS belirteçleri, JAMF konfigürasyonları ve CI/CD ortam değişkenleri de dahil olmak üzere hassas kimlik bilgilerini ve kritik verileri toplamayı amaçlayan şüphesiz geliştiricileri kullanacak şekilde tasarlanmıştır.
Bu keşif, kötü niyetli aktörlerin sistemlere sızmak ve değerli bilgileri yaymak için meşru paketleri silahlandırdığı yazılım tedarik zinciri saldırılarının artan tehdidinin altını çiziyor.
.png
)
Kötü niyetli paket kurumsal hedefler
“Chimera-sandbox-extensions” paketi, kurulum üzerine check_update () adlı bir işlev aracılığıyla saldırısını başlatan oldukça karmaşık bir yük dağıtım sistemi kullanır.
Bu işlev, bir dizi alan oluşturmak için Charstream sınıfı içindeki bir psödorandom alan üretim algoritması (DGA), “Chimerasandbox.workers.dev” alt alanının altında dinamik olarak oluşturulan on URL’ye bağlantı kurar.
Bu alanlardan sadece biri “TWDTSGC8IURYD0IU.Chimerasandbox.workers.dev/Auth” analiz sırasında aktif oldu.
Başarılı bir bağlantı üzerine, kötü amaçlı yazılım bir kimlik doğrulama jetonu alır ve daha sonra aynı etki alanının /kontrol uç noktasından Python tabanlı bir Infostealer yükünü indirir.
Bu yük otomatik olarak yürütülür ve JAMF makbuzları, kapsül sanal alan kimlik doğrulama jetonları, zscaler ana bilgisayar konfigürasyonları ve genel platform bilgileri dahil olmak üzere kurumsal ve bulut ortamlarına özgü çok çeşitli hassas verileri hedefler.
Veri Sunum Taktikleri
Çalınan veriler daha sonra bir JSON yapısında biçimlendirilir ve sunucu tarafı mantığının bilgileri, yükseltilmiş saldırılar için potansiyel olarak daha fazla yüklemeyi dağıtmak için değerlendirdiği bir POST isteği aracılığıyla kötü amaçlı etki alanına geri iletilir.
Bu örnekteki nihai yük tam olarak etkinleştirilmemesine rağmen, sonraki indirmelerin derhal yürütme kapasitesi, bu tür tehditlerin yarattığı ciddi riski vurgulamaktadır.
Bu saldırının derinliği, hedeflenen yaklaşımı ve teknik karmaşıklığında yatmaktadır.
Jenerik veri çalma kötü amaçlı yazılımlardan farklı olarak, bu Infostealer, kurumsal ağlardan ve bulut platformlarını tehlikeye atmayı amaçlayan altyapıya özgü bilgilere odaklanmaktadır.
DGA’da tutarlı bir tohum kullanımı, öngörülebilir alan üretimi sağlar ve saldırganların randomizasyon yoluyla algılamadan kaçarken iletişim kanalları üzerinde kontrolü sürdürmesini sağlar.
İlk yük gerçekleştirildikten sonra, kötü amaçlı yazılımların Get_execution_Context () işlevini kullanarak ana bilgisayar ortamını inceleme yeteneği ve ayrıntılı ana bilgisayar bilgilerini komut ve kontrol sunucusuna geri aktarma yeteneği, kalıcılık ve uyarlanabilirlik için tasarlanmış çok aşamalı bir saldırı gösterir.
JFrog ekibinin hızlı tespiti ve PYPI koruyucularına rapor vermesi, paketin kaldırılmasına yol açtı, ancak olay, açık kaynaklı depolarda devam eden tehlikeler hakkında keskin bir uyarı olarak görev yapıyor.
Geliştiriciler ve kuruluşlar, bu tür sinsi tedarik zinciri istismarlarına karşı korunmak için paket veterinerleme ve sürekli izleme gibi titiz güvenlik uygulamalarını benimsemelidir.
Bu olay sadece modern siber suçluların teknik yeteneklerini ortaya çıkarmakla kalmaz, aynı zamanda yazılım ekosistemini gelişen tehditlere karşı güvence altına almada işbirlikçi uyanıklığa yönelik kritik ihtiyacı vurgular.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin