Bilgisayar korsanları, merkezi olmayan uygulamalardaki güvenlik açıklarından yararlanmak, özel anahtarlara erişmek veya Solana blok zincirindeki işlemleri manipüle etmek için sıklıkla Solana Python API ekosistemini hedef alırlar.
Yakın zamanda Solana Python API ekosistemi bir typosquatting saldırısının (sonatatype-2024-3214 olarak etiketlendi) hedefi oldu.
GitHub’da “solana-py” olarak bilinen ancak PyPI’da (Python Paket Endeksi) “solana” olarak listelenen resmi Solana Python API projesi yazım yanlışına uğradı.
İsimlendirme farkından faydalanan bir tehdit aktörü tarafından aldatıcı bir paket olan “solana-py” yayınlandı.
Sonatype’taki siber güvenlik araştırmacıları, bu sahte paketin, hassas verileri çalmak için tasarlanmış gizli özelliklerle meşru proje kodunu karıştırdığını doğruladı.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Saldırı, geliştiriciler arasında projenin adı konusunda oluşabilecek karışıklığı kullanarak, orijinal Solana API’sinin yanlış yazılımını bilmeden yükleyen kişiler için güvenli olmayan bir indirme ortamı oluşturuyor.
Kötü Amaçlı Typosquat Paketi
PyPI, projenin meşru GitHub hesabı (“solana-py”) ile PyPI kimliği (“solana”) arasında kullanılan isimlendirmedeki tutarsızlıklardan yararlanan yanıltıcı bir “solana-py” paketi yayınladı.
Bu dolandırıcılık paketi, daha yüksek bir sürüm numarası (0.34.3’e karşı 0.34.5) kullanmak, diğer kütüphanelerin belgelerinde “solana-py” referanslarından yararlanmak ve kötü amaçlı kod eklemek için “init.py” dosyasını değiştirmek gibi çeşitli taktikler kullanarak gerçek gibi görünmeye çalışıyor.
Bu saldırının asıl tehlikesi, GitHub dokümanlarında yaygın olarak kullanılan “solana-py” paketinin, geliştiricilerin zararlı paketi indirmesine neden olabilecek şekilde istismar edilmesidir.
.webp)
Araştırmacılar, sahte bakımcı isminin “treefinder” olması, gerçek isminin ise “michaelhly” olması gibi birkaç önemli ayrımı vurguladılar ve Python ekosistemine eklenen her paketin gerçekliğini kontrol etmenin gerekliliğini ortaya koydular.
“exceptions.py” paketi, kötü amaçlı bir ‘solana-py’yi gizleyen ve ardından verilerin dışarı sızdırılması için Hugging Face’in barındırılan API’sine sessiz çağrılar yapan karmaşık bir saldırıdır.
Bu paketin 0.34.3 sürümü __init__.py dosyası, korsanların Solana blok zinciri cüzdan anahtarlarını çalmasına yardımcı olduğu için önemli olan solders kütüphanesinden belirli bir işlevi değiştirir. Bu şekilde, saldırganlar ‘solana-py’yi yanlış yazabilir ve meşru ‘solders’ paketini kullanan geliştiricileri kandırabilir.
Daha sonra, tehlikeye atılan uygulama, hem geliştiricilere hem de kullanıcılarına ait kripto para birimlerine ilişkin hassas bilgileri ifşa edebilir.
Bu vaka, açık kaynak ekosistemindeki tehdit aktörlerinin kripto parayla ilgili projelere yönelik taktiklerini nasıl değiştirdiğini gösteriyor.
Üçüncü taraf bağımlılıklarının daha iyi analiz edilmesi, iyileştirilmiş dokümantasyon uygulamaları ve yazım yanlışı risklerine daha fazla dikkat edilmesi gibi daha güçlü tedarik zinciri güvenlik mekanizmalarına yönelik acil bir ihtiyaç olduğunu vurgulamaktadır.
Tüm senaryo, özellikle kritik finansal verileri işleyen herhangi bir yazılım geliştirme projesinin yaşam döngüsü boyunca güvenliğe öncelik veren bir yaklaşım sürdürmesinin ne kadar önemli olduğunu vurguluyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces