Python Paket İndeksi’nin (PyPI), potansiyel olarak zararlı 29 paket içerdiği tespit edildi. Bu durumların çoğunda, gizlenmiş kodun, virüslü makinelerde “W4SP” adlı bir bilgi hırsızı bıraktığını göreceksiniz.
Diğerleri, yalnızca öğretme amacıyla tasarlandığı iddia edilen kötü amaçlı yazılımlardan yararlanır.
W4SP Stealer, PyPI’yi tehlikeye attı ve bu kötü amaçlı yazılım, öncelikle, kötü amaçlı yazılım tarafından oluşturulan kötü amaçlı kodlarla geliştiricilerin sistemlerine bulaşmak amacıyla tasarlanmıştır.
Enjeksiyonu içe aktar
Phylum’daki siber güvenlik analistleri, bu tür saldırıların ilk adımlarının popüler kitaplıkların basit kopyaları ve kötü niyetli __import__ ifadelerinin bir kod tabanına eklenmesi olduğu sonucuna vardıkları kapsamlı bir araştırma yaptılar.
Paketin PyPI açılış sayfası setup.py ve README.md dosyasından oluşturulduğundan, saldırganın mevcut, meşru bir paketi kopyalayıp yapıştırmaktan avantaj elde ettiğini belirtmek önemlidir.
Ek olarak, bu yöntemle saldırganlar, öncelikle çalışan meşru bağlantıları ve diğer her şeyi tutan gerçek görünümlü bir açılış sayfası hemen oluşturabilir.
Kısa bir bakış, kapsamlı bir şekilde incelenmediği takdirde bu paketin de meşru olduğuna inandırabilir.
Kötü amaçlı PyPI paketleri
Toplamda, Phylum’daki uzmanlar tarafından yakın zamanda tanımlanmış ve aşağıda listelediğimiz 29 yazılım tedarik zinciri güvenlik paketi bulunmaktadır:-
- algoritmik
- renkler
- renkli
- bukleler
- selvi
- aranan
- SSS
- şişko
- felpesviadinho
- evet
- inanılmaz
- kurulum
- evet
- pydprotect
- ipuçları
- metin metni
- psilyt
- pystyle
- yapabilirsiniz
- purling
- istekler-httpx
- Şazima
- sıkılaştırıcı
- sıkılaştırır
- sutiltype
- sicimler
- tip-renk
- dizgi
- tipsutil
Olgunlaşma Taktikleri
Çoğu paket, özellikle öncekiler, setup.py veya init.py dosyalarına enjekte edilmesi kolay kötü amaçlı içe aktarma içerir. Aşağıdaki resimde request-httpx’in request paketini kopyalayıp kendi paketine ekleyebildiğini görüyoruz.
Bunu takiben, saldırgan taktiklerini biraz değiştirdi ve sistemi tehlikeye atmak için benzer bir girişimde bulunamadı. Dikkat dağıtmamak için içe aktarmayı ekranda göze çarpan bir yere yerleştirmek yerine gizlemek için Python’un nadir tümcesinden yararlandılar.
Ayrıca, aşağıdaki ekran görüntüsünde setup.py adlı zararlı yazılım typeutil paketinden geliyor.
Gizli Python
Bu karmaşada yaklaşık 71 bin karakter var, bu da bu karmaşanın dibine ulaşmak için içinden geçilmesi gereken epeyce çamur olduğu anlamına geliyor. Bunun, karmaşık bir Python programı için tipik olduğunu not etmek önemlidir.
Süreç boyunca, pek doğru olmayan bir şey olduğu ortaya çıktı. Saldırganın taktikleri bundan sonra tekrar değiştiği için, analistler de bunu fark ettiklerinden şüpheleniyorlar.
Tedarik zinciri saldırısı şunlar için yürütülür: –
- Python Paket Dizini’nde, kötü niyetli kod içeren ve meşru paketleri açıkça kopyalayan düzinelerce paket bulunmaktadır.
- Kötü amaçlı kod, setup.py ve __init__.py deyimleri gibi özel hata sınıflarına enjekte edilir.
- Bu Base64 kodlu dizenin kodu çözüldüğünde, geçici bir dosyaya yazılacak bir Python betiği içerir ve üzerinde yürütme gerçekleştirilir.
- Bu geçici dosya aracılığıyla herhangi bir sayıda URL’ye erişmek mümkündür.
- Her URL’den, hafif karıştırılmış Python kodu kullanılarak sıkıştırılmış bir bayt nesnesi yürütülür.
- W4SP Stealer kötü amaçlı yazılımı, sıkıştırıldıktan sonra bu bayt nesnesinde bulunur.
Ancak, araştırmacıların yakın gelecekte bunun gibi daha fazla kötü amaçlı yazılım başlatacaklarını iddia ettikleri raporlara göre. Bunu haklı çıkarmak için, bunun kararlı bir saldırgandan sürekli taktik değiştiren devam eden bir saldırı olduğunu iddia ettiler.
Güvenli Web Ağ Geçidi – Web Filtresi kuralları, web etkinliği izleme ve kötü amaçlı yazılım koruması – Ücretsiz E-Kitap İndirin