Mevcut tehdit ortamında çok yaygın hale gelen bir olayda, güvenlik araştırmacıları başka bir kötü amaçlı açık kaynak paketi daha buldular; bu sefer GitLab’da kripto para madenciliği yapmak için sistem kaynaklarını ele geçiren aktif bir Python dosyası.
Checkmarx’ın 19 Eylül tarihli bir blog yazısında “culturestreak” adı verilen paketin, Aldri Terakhir adlı bir kullanıcının GitLab geliştirici sitesindeki aktif bir depodan kaynaklandığı belirtildi.
Checkmarx’a göre paket indirilip dağıtıldığında, daha büyük bir kripto madencilik operasyonunun parçası olarak Dero kripto para biriminin yetkisiz madenciliği için sistem kaynaklarından yararlanan sonsuz bir döngüde çalışıyor.
Checkmarx güvenlik araştırmacısı Yehuda Gelb, gönderisinde “‘culturestreak’ paketi tarafından gerçekleştirilen gibi yetkisiz madencilik işlemleri, sisteminizin kaynaklarını tükettiğinden, bilgisayarınızı yavaşlattığından ve potansiyel olarak sizi daha fazla riske maruz bıraktığından ciddi riskler teşkil ediyor” diye yazdı.
Kalıcı Tehdit
Bulgular, geliştiricilerin minimum çabayla mümkün olduğu kadar çok kurbana ulaşmanın bir yolu olarak yazılım oluşturmak için kullandıkları açık kaynak paketlerini zehirleyen fırsatçı tehdit aktörlerinin oluşturduğu mevcut, kalıcı tedarik zinciri tehdidinin altını çiziyor.
Bu yılın başlarında Checkmarx, bu taktiğe karşı bir savunma yöntemi olarak, kötü amaçlı paketleri yazılım tedarik zincirine ulaşmadan önce tespit etmek için özel bir tehdit istihbaratı API’si bile başlattı.
Özellikle Python paketleri, yazılım oluşturmaya yönelik açık kaynaklı yazılım platformunun popülerliği nedeniyle kötü amaçlı yükleri gizlemek için tercih edilen bir yöntem olmuştur. Python geliştiricileri genellikle kod paketlerini GitLab ve GitHub gibi depolar aracılığıyla çevrimiçi olarak paylaşıyor ve bu da Python’u tehdit aktörlerinin yararlanabileceği kolay erişilebilir bir ekosistem haline getiriyor.
Tehdit aktörleri ayrıca, tehlikeye atılmış paketleri depoya yüklemek için kimlik bilgilerini çalmayı amaçlayan kötü niyetli bir sosyal mühendislik kampanyasıyla Python Paket Dizini (PyPI) kullanıcılarını da hedef aldı.
Kaçınma ve Konuşlandırma
Culturestreak konuşlandırıldıktan sonra, genellikle hassas bilgileri gizlemek veya birisinin kodun amacını anlamasını zorlaştırmak için kullanılan bir şaşırtma tekniğiyle Base64 kodlu birkaç dizenin kodunu çözer.
Paket, ilk aldatma eyleminde HOST, CONFIG ve FILE gibi değişkenlerin kodunu çözer ve bunlar daha sonra işlemin sonraki adımlarında kullanılır. Daha sonra kötü amaçlı paket, indirilen kötü amaçlı ikili dosyanın dosya adı olarak hizmet veren FILE değişkenini 1 ila 999999 arasında rastgele bir tam sayıya ayarlar.
Gelb, “Bunun olası bir nedeni, antivirüs veya güvenlik yazılımlarının sabit adlandırma kurallarına dayalı olarak kötü amaçlı dosyaları tespit etme yeteneğini engellemektir” diye yazdı.
Daha sonra, Culturestreak, Unix benzeri sistemlerde geçici dosyalar için ortak bir konum olan /tmp/ dizinine kaydedilen “bwt2” adlı ikili dosyayı indirmeye çalışır. Ancak araştırmacılar, karışıklığı nedeniyle ikili dosyayı okuyamamışlardır. UPX yürütülebilir paketleyicisi sürüm 4.02 ile paketlendiğini bulmak için tersine mühendislik yapmayı başardılar.
Araştırmacılar paketi açtıktan sonra GitHub’da Dero kripto madenciliği için bilinen, optimize edilmiş bir araç olduğu ortaya çıkan “astrominer 1.9.2 R4” adlı gcc ikili dosyasını çıkardılar.
Makinedeki Dişli
Daha önce de belirtildiği gibi, ikili kod, sabit kodlu havuz URL’leri ve cüzdan adreslerini kullanarak sonsuz bir döngüde çalışacak şekilde programlanmıştır; bu, “kripto para biriminin yetkisiz madenciliği için sistem kaynaklarından yararlanmaya yönelik hesaplanmış bir girişimin göstergesidir” [and] Gelb, bunu sürekli olarak sistem kaynaklarını sömüren amansız bir tehdit haline getiriyor” diye yazdı.
Havuz URL’lerinin, birden fazla kullanıcının bilgi işlem güçlerini birleştirerek kripto para birimini daha verimli bir şekilde çıkardıkları sunucular olduğunu açıkladı. Gelb, “Bu, paketin aslında bilgisayarınızı sizin izniniz olmadan daha büyük bir madencilik operasyonunda bir dişli çarka dönüştürdüğü anlamına geliyor” diye ekledi.
Gelb, Culturestreak kötü amaçlı kod paketinin keşfedilmesinin, geliştiriciler için “kodları ve paketleri her zaman doğrulanmamış veya şüpheli kaynaklardan incelemenin” ne kadar önemli olduğunu bir kez daha hatırlattığını yazdı. Geliştiriciler ayrıca yazılım geliştirmelerine yönelik potansiyel tehditlerden haberdar olmak için tehdit istihbaratı kaynaklarını takip etmelidir.
Checkmarx, insanların kötü amaçlı kod paketinin kendi sistemlerinde kripto madencilik yükünü çalıştırıp çalıştırmadığını belirlemelerine yardımcı olmak için Gelb’in gönderisinde güvenlik ihlali göstergelerinin (IoC’ler) bir listesini sundu.