Otomatik bir risk algılama sistemi, PyPI'deki popüler Python kitaplıklarını hedef alan bir yazım hatası kampanyası tespit etti. Saldırı, 20 saatlik arayla iki dalga halinde request, TensorFlow ve BeautifulSoup gibi adlarda yazım hatası içeren 500'den fazla varyasyonu dağıttı.
Kampanya yanlış adlar (meşale yerine pytorch) ve zaten standart kütüphanenin parçası olan kütüphaneler (asyncio, tkinter) içeriyordu. Bazı varyasyonlar aynı zamanda “pip install—r gereksinimleri”ni yanlış yazabilecek kullanıcıları da hedef alıyordu.
Saldırgan, otomatik saldırıdan birkaç saat önce schubismomv3 adlı bir paketle denemeler yaptı; burada ilk önce yükleme kancalarını denedi, ardından şifrelenmiş veriyi yerel bir dosyaya yazılan ve ardından çalıştırılan bir dizeye kaçırdı.
Varyasyonlar, schubismomv3 yayınlarının geri kalanı için yinelendi ve ardından saldırgan, setup.py dosyasındaki kötü amaçlı bitle birlikte delipackagev1414'ü yayınladı.
Temel fark, yükün önemli ölçüde daha küçük olması ve kurulum dosyasına tamamen doldurulmak yerine uzak bir URL'den çekilmesi ve ardından saldırganın, “çılgın paket” adlandırma şemasının farklı varyasyonları altında bu paketlerin yedi varyasyonunu daha yayınlamasıdır.
Saldırının Başlangıcı
Bir saldırgan, PyPI deposuna yazım hatası saldırısı başlatarak Tensorflow, request ve Matplotlib gibi popüler paketlerde 566 kötü amaçlı varyasyon yayınladı.
Bir Sonraki İhlalden Kaçınmak İçin Ücretsiz CISO Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Perimeter 81 Ücretsiz PDF Kılavuzunu İndirin
Saldırı iki patlama halinde gerçekleşti; ilki 1,5 saatte 360 paketi, ikincisi ise birkaç saatte 206 paketi hedef aldı. PyPI, kötü amaçlı paketleri kaldırarak ve daha fazla riskin önlenmesi için yeni kullanıcı ve proje oluşturma işlemlerini geçici olarak askıya alarak hızlı bir şekilde yanıt verdi.
Kötü amaçlı bir Python betiği çok aşamalı bir saldırı başlatır. Öncelikle uzaktaki bir sunucudan şifrelenmiş kodu alır ve şifreyi çözdükten sonra yerel bir anahtarla çalıştırır. İkincil veri, potansiyel hırsızlığa karşı muhtemelen tehlikeye atılmış bir “app.asar” dosyasını hedeflenen kripto para birimi cüzdanlarına (Exodus, Atomic) enjekte ediyor.
Daha sonra Chromium tabanlı tarayıcılardan (Chrome, Edge ve Opera) tarayıcı verilerini (oturum açma bilgileri, çerezler ve potansiyel olarak cüzdan verileri) sızdırır, cüzdan uygulamaları ve kimlik bilgileri için kullanıcı dizinlerini arar; aynı zamanda hesaba erişim için Discord jetonlarını da sıyırır.
Çalınan bilgiler sıkıştırılır ve güçlü güvenlik önlemleri kullanan uzak bir sunucuya yüklenir: güvenilmeyen kaynaklardan kaçının, yazılımı güncelleyin, antivirüs kullanın, çevrimiçi dikkatli olun ve iki faktörlü kimlik doğrulamayla şifre yöneticilerinden yararlanın.
Saldırganlar, PyPI üzerinde otomatik bir yazım hatası kampanyası başlattı ve popüler olanlara benzer adlara sahip 500'den fazla kötü amaçlı paket yayınladı (örneğin, TensorFlow ve TensorFlow).
Phylum'a göre, 16 tanınmış paketi hedef aldı ve geliştiricileri kötü amaçlı yazılım yüklü paketler yüklemeleri için kandırmayı amaçladı. PyPI, yeni kullanıcı kayıtlarını askıya alarak hızlı bir şekilde yanıt verdi ancak olay, açık paket depolarına sahip ekosistemlerin güvenlik açığını ortaya çıkardı.
Hızlı bir yanıtla bile, kötü amaçlı yazılımın kurulum sırasında çalıştırılması durumunda yazım hatası saldırıları başarılı olabilir; bu da kullanıcıların paketleri yüklerken son derece dikkatli olmalarını gerektirir.