Sofistike bir kimlik avı kampanyası, Python Paket Dizini’nde (PYPI) paketlerin bakımını hedefleyen ve şüpheli geliştiricilerin kimlik doğrulama kimlik bilgilerini çalmak için etki alanı karışıklık taktikleri kullandı.
Saldırı, resmi PYPI iletişimlerini taklit etmek için tasarlanmış hileli e -postalardan yararlanır ve alıcıları meşru PYPI altyapısına yakından benzeyen kötü amaçlı alanlara yönlendirir.
Kimlik avı operasyonu, kullanıcılardan “hesap bakımı ve güvenlik prosedürleri” için “e -posta adreslerini doğrulamalarını” isteyen özenle hazırlanmış e -postalar kullanır ve hesapların derhal işlem yapmadan askıya alınabileceğini uyarır.
Bu aldatıcı mesajlar, iletişimin meşruiyetini incelemeden hızlı hareket etmeye zorlayan bir aciliyet duygusu yaratır.
Hileli e-postalar, kullanıcıları resmi bir Pypi aynası olarak görünen ancak Python Yazılım Vakfı’na tamamen bağlı olmayan kötü amaçlı alan pypi-mirror.org’a yönlendirir.
Bu kampanya, son aylarda PYPI ve diğer açık kaynaklı depoları hedefleyen benzer saldırıların devamını temsil ediyor ve tehdit aktörleri algılama ve yayından kaldırma çabalarından kaçınmak için alan adlarını sistematik olarak döndürüyor.
Pypi.org analistleri bunu, açık kaynaklı ekosistem içindeki güven ilişkilerinden yararlanmak için özel olarak tasarlanmış daha geniş bir alan-konfüzyon saldırıları modelinin bir parçası olarak tanımladılar.
Saldırı, sosyal mühendislik ve teknik aldatmacanın bir kombinasyonu ile işlev görerek, geliştiricilerin paket depolarından resmi görünümlü iletişimde bulundukları doğal güvenden yararlanıyor.
Mağdurlar kötü niyetli bağlantıyı tıkladıklarında, hileli alanda barındırılan PYPI giriş arayüzünün ikna edici bir kopyasına yönlendirilir ve burada herhangi bir kimlik bilgilerinin saldırganlar tarafından hemen hasat edildiği.
Etki alanı karışıklığı ve altyapı aldatma
Bu kimlik avı kampanyasının teknik temeli, meşru PYPI altyapısına ince görsel benzerliklerden yararlanan alan adı sahte tekniklerine dayanmaktadır.
Saldırganlar, yedeklilik ve coğrafi dağılım için ayna alanlarını koruyan paket depolarının ortak uygulamasından yararlanmak için pypi-mirror.org’u kaydettirdiler.
Bu adlandırma sözleşmesi, büyük yazılım depoları tarafından yaygın olarak istihdam edilen ayna mimarilerini bilen kullanıcılar için meşru görünmektedir.
Kötü niyetli etki alanı, güvenilirliğini artırmak için HTTPS şifreleme ve profesyonel web tasarım öğeleri kullanır, bu da siteye hızlı veya mobil cihazlarda erişebilecek kullanıcılar için görsel algılamayı zorlaştırır.
Hileli site, Pypi’nin giriş arayüzünü uygun stil, logolar ve otantik deneyimi yansıtan form öğeleri dahil olağanüstü hassasiyetle tekrarlar.
Bu karmaşıklık düzeyi, kampanyanın başarı oranını en üst düzeye çıkarmaya adanmış önemli planlama ve kaynakları önermektedir.
PYPI güvenlik ekipleri, yıpranma prosedürlerini hızlandırmak için etki alanı kayıt şirketleri ve içerik dağıtım ağları ile koordinasyon yaparak yanıt verdi ve aynı zamanda kimlik avı koruması için büyük tarayıcılar tarafından kullanılan istihbarat yemlerini tehdit etmek için kötü niyetli alanlar gönderdi.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
