Tanımlanamayan bir grup tehdit aktörü, kod ekosistemine kötü amaçlı kod enjekte etmek amacıyla Top.gg GitHub organizasyonunun üyelerine ve bireysel geliştiricilere yönelik karmaşık bir tedarik zinciri siber saldırısı düzenledi.
Saldırganlar, geliştiricilerin güvenliğini tehlikeye atmak için güvenilir yazılım geliştirme öğelerine sızdı. Çalınan çerezlerle GitHub hesaplarını ele geçirdiler, doğrulanmış taahhütler yoluyla kötü amaçlı kod eklediler, sahte bir Python aynası oluşturdular ve PyPi kayıt defterinde kusurlu paketler yayınladılar.
Checkmarx yazılım tedarik zinciri güvenliği başkanı Jossef Harush Kadouri, “Birden fazla TTP, saldırganların karmaşık saldırılar oluşturmasına, tespitten kaçmasına, başarılı istismar şansını artırmasına ve savunma çabalarını karmaşıklaştırmasına yardımcı oluyor” diyor.
Checkmarx araştırmacılarının bir blog yazısına göre saldırganlar, kullanıcıları kandırmak için resmi alana benzeyen sahte bir Python ayna alanıyla ikna edici bir yazım hatası tekniği kullandı.
Saldırganlar, metin biçimlendirme sürecini basitleştirmek için 150 milyondan fazla kullanıcı tarafından kullanılan Colorama gibi popüler Python paketlerini kurcalayarak, görünüşte meşru yazılımların içindeki kötü amaçlı kodları gizleyerek erişimlerini GitHub depolarının ötesine genişletti.
Ayrıca, kötü niyetli taahhütler eklemek ve eylemlerinin güvenilirliğini artırmak için yüksek itibarlı GitHub Top.gg hesaplarından da yararlandılar. Top.gg 170.000 üyeden oluşuyor.
Veri hırsızlığı
Saldırının son aşamasında, tehdit grubunun kullandığı kötü amaçlı yazılım, kurbanın hassas bilgilerini çalıyor. Çerezleri, otomatik doldurma verilerini ve kimlik bilgilerini hedefleyerek Opera, Chrome ve Edge gibi Web tarayıcıları da dahil olmak üzere popüler kullanıcı platformlarını hedefleyebilir. Kötü amaçlı yazılım ayrıca Discord hesaplarının kökünü kazıdı ve platformdaki kurban hesaplarına yetkisiz erişim sağlamak için şifresi çözülmüş tokenları kötüye kullandı.
Kötü amaçlı yazılım, kurbanın kripto para birimi cüzdanlarını, Telegram oturum verilerini ve Instagram profil bilgilerini çalabilir. İkinci senaryoda, saldırgan, hesap ayrıntılarını almak için kurbanın oturum belirteçlerini kullanır, tuş vuruşlarını yakalamak için bir keylogger kullanır ve potansiyel olarak şifrelerin ve kişisel mesajların ele geçirilmesine neden olur.
Bu bireysel saldırılardan çalınan veriler daha sonra, anonim dosya paylaşım hizmetleri ve HTTP istekleri de dahil olmak üzere çeşitli teknikler kullanılarak saldırganın sunucusuna sızdırılır. Saldırganlar her kurbanı takip etmek için benzersiz tanımlayıcılar kullanır.
Saldırganlar, tespit edilmekten kaçınmak için kodlarında boşluk manipülasyonu ve yanıltıcı değişken adları da dahil olmak üzere karmaşık gizleme teknikleri kullandı. Kalıcılık mekanizmaları kurdular, sistem kayıtlarını değiştirdiler ve çeşitli yazılım uygulamalarında veri çalma operasyonları yürüttüler.
Bu karmaşık taktiklere rağmen, bazı tetikte Top.gg topluluğu üyeleri kötü niyetli etkinlikleri fark etti ve bildirdi. Checkmarx'a göre bu da Cloudflare'in kötüye kullanılan alan adlarını kaldırmasına yol açtı. Yine de Checkmarx'tan Kadouri tehdidi hâlâ “aktif” olarak görüyor.
Geliştiriciler Nasıl Korunur?
BT güvenliği profesyonelleri, yeni kod projesi katkılarını düzenli olarak izlemeli ve denetlemeli ve geliştiricilerin tedarik zinciri saldırılarının riskleri konusunda eğitim ve farkındalığına odaklanmalıdır.
Kadouri, “Rekabeti bir kenara bırakıp açık kaynak ekosistemlerini saldırganlara karşı güvenli hale getirmek için birlikte çalışmaya inanıyoruz” diyor. “Kaynakları paylaşmak, yazılım tedarik zinciri tehdit aktörlerine karşı üstünlük sağlamak için çok önemlidir.”
Kadouri'ye göre yazılım tedarik zinciri saldırılarının devam etmesini bekliyoruz. “Tedarik zinciri saldırılarının evriminin, üretim hatları, yapay zeka ve büyük dil modellerinde artacağına inanıyorum.”
Son zamanlarda Hugging Face gibi makine öğrenimi modeli depoları, tehdit aktörlerine fırsatlar sunuyor. geliştirme ortamlarına kötü amaçlı kod enjekte etmenpm ve PyPI açık kaynak depolarına benzer.
Son zamanlarda JetBrains'in bulut sürümlerini etkileyen diğer yazılım tedarik zinciri güvenliği sorunları ortaya çıktı TeamCity yazılım geliştirme platformu yönetici aynı zamanda kötü amaçlı kod güncellemeleri Eylül ayında yüzlerce GitHub deposuna girdi.
Zayıf kimlik doğrulama ve erişim kontrolleri, İranlı hacktivistlerin tedarik zinciri saldırısı bu ayın başlarında bir teknoloji sağlayıcı aracılığıyla İsrail üniversitelerinde.