Araştırmacılar, NovaSentinel hırsız kötü amaçlı yazılımını dağıtmak üzere beklenmedik bir şekilde güncellenen, Django-log-tracker adlı, hareketsiz bir Python Paket Dizini (PyPI) paketi aracılığıyla karmaşık bir siber saldırı tespit etti.
Bu keşif, geliştiriciler ve kuruluşlar arasında artırılmış güvenlik önlemlerine duyulan ihtiyacı vurgulayarak, yazılım tedarik zincirine yönelik önemli bir tehdidin altını çiziyor.
İlk olarak Nisan 2022’de yayınlanan Django-log-tracker paketi, 21 Şubat 2024’teki şüpheli bir güncelleme Phylum’un dikkatini çekene kadar devre dışı kaldı.
Bu tür kötü amaçlı yazılım dosyalarını, ağları, modülleri ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: HERHANGİ.Kötü amaçlı yazılım korumalı alanını ÇALIŞTIRINve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Güncellemenin paketin GitHub deposu etkinliğinden farklı olması, geliştiricinin PyPI hesabının potansiyel olarak tehlikeye atıldığını gösteriyordu. Bu olay, saldırganların tedarik zinciri saldırıları gerçekleştirmek için hareketsiz paketleri hedef almasında endişe verici bir eğilime işaret ediyor.
Kötü amaçlı güncelleme, paketi en temel öğelerine kadar çıkardı ve geriye yalnızca __init__.py Ve example.py dosya, her ikisi de aynı, kötü amaçlı kod içeriyor.
VirusTotal’daki dört site exe’yi tehlikeli olarak işaretledi. İkilinin verilerini kolaylıkla çıkarabiliyoruz çünkü daha detaylı baktığımızda bunun bir NSIS başlatıcısı olduğu ortaya çıkıyor. İçinde bir Electron uygulaması var.
Yürütülmesinin ardından bu kod, uzak bir sunucudan “Updater_1.4.4_x64.exe” adlı yürütülebilir dosyayı indirir ve çalıştırır. Yürütülebilir dosya, Windows’ta, virüslü sistemlerden hassas bilgileri sızdırma yetenekleriyle bilinen NovaSentinel hırsız kötü amaçlı yazılımına gömülüdür.
İlk olarak Kasım 2023’te Sekoia tarafından belgelenen NovaSentinel, video oyunu indirme olanağı sunan web sitelerindeki sahte Electron uygulamaları aracılığıyla dağıtıldı. Bu son PyPI paketi ihlali, geliştirici topluluğunun kötü amaçlı yazılım yayma konusundaki güvenini kullanan bir tedarik zinciri saldırısı girişimini temsil ediyor.
Django-log-tracker paketi 3.866 kez indirildi; hileli sürüm 1.0.4 ise yayınlandığı gün 107 kez indirildi. Phylum’un hızlı tespiti ve raporlaması, paketin PyPI’den kaldırılmasına yol açarak daha fazla indirmenin ve potansiyel bulaşmaların önlenmesini sağladı.
Phylum’un keşfi, üçüncü taraf paketlerle uğraşırken dikkatli olmanın ve sağlam güvenlik uygulamalarının uygulanmasının öneminin altını çiziyor. Geliştiricilerin ve kuruluşların, özellikle hareketsiz projelerdeki paket güncellemelerini incelemeleri ve anormal etkinlikleri tespit edebilen otomatik güvenlik araçlarını kullanmaları teşvik edilmektedir.
Bu durumda deneyebilirsiniz Perimeter81 kötü amaçlı yazılım koruması Ağınızı çökertebilecek Truva atlarını, fidye yazılımlarını, casus yazılımları, rootkit’leri, solucanları ve sıfır gün güvenlik açıklarını engelleyen.