Tehdit aktörleri öncelikle geniş kullanıcı tabanı ve kötü amaçlı paketleri “açık kaynak ekosistemi” içinde dağıtma kolaylığı nedeniyle “PyPI”yi hedef alıyor.
“PyPI”nin merkezi olmayan doğası, izleme çabalarını karmaşık hale getiriyor ve bu da onu “geliştirici ortamlarından ödün vermek” ve “yazılım tedarik zincirini bozmak” isteyen tehdit aktörleri için çekici bir platform haline getiriyor.
Checkmarx araştırmacıları yakın zamanda PyPI’nin saldırı altında olduğunu tespit etti ve kötü amaçlı kripto çalma paketleri keşfetti.
PyPI’deki kötü niyetli bir kullanıcı, 22 Eylül’de “AtomicDecoderss”, “TrustDecoderss”, “WalletDecoderss” ve “ExodusDecodes” gibi “birden fazla aldatıcı paket yükleyerek” karmaşık bir “tedarik zinciri saldırısı” düzenledi.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Bu paketler kendilerini “Atomic”, “Trust Wallet”, “Metamask”, “Ronin”, “TronLink” ve “Exodus” gibi kripto para birimi cüzdanlarını yönetmek için meşru araçlar olarak sundu.
Paketler, kullanıcıların “anımsatıcı ifadeleri” (12-24 kelimelik yedekleme şifreleri) kurtarmasına ve cüzdan verilerinin şifresini çözmesine yardımcı oluyor gibi görünse de, “bağımlılık zehirlenmesi” yoluyla karmaşık bir kötü amaçlı yazılım stratejisi uyguladı.
Checkmark, burada kötü amaçlı kodun ana paket yerine “cipherbcryptors” ve “ccl_leveldbases” adlı destek paketlerinde gizlendiğini ekledi.
Saldırgan, “sahte indirme istatistikleri” ve “kullanım talimatları” içeren, profesyonelce hazırlanmış “README dosyaları” (belgeler) yoluyla güvenilirliği artırdı.
Kullanıcılar bu paketleri yüklediğinde, gizli kötü amaçlı kod etkinleşecek ve hassas kripto para birimi verilerini çalacaktı.
Saldırganlara kurbanların “milyonlarca dolar” değerindeki kripto para birimi fonlarına tam erişim sağlayan “özel anahtarlar” ve “anımsatıcı ifadeler” içerir.
“Python ekosisteminde” birden fazla “aldatma” ve “teknik karmaşıklık” katmanı kullanan karmaşık bir tedarik zinciri saldırısı, “cipherbcryptors” paketiyle temsil edilir.
Kötü amaçlı yazılım, adresleri “sabit kodlamak” yerine dışarıdan alan bir “dinamik C2 sunucu altyapısı” uygularken gerçek işlevselliğini maskelemek için “ağır kod gizleme teknikleri” kullandı.
Paket, “güvenlik taramalarından kaçınmak” için “kurulum” sırasında hareketsiz kaldı ve yalnızca kullanıcılar belirli kripto para birimi işlevlerini çağırdığında etkinleştirildi.
Kötü amaçlı yazılım, hassas veriler aranarak tetiklendikten sonra çeşitli kripto para birimi cüzdanlarını hedef aldı.
Hassas veriler arasında belirli dosya konumlarındaki ve “veri yapılarındaki” “özel anahtarlar”, “anımsatıcı tohum ifadeleri”, “cüzdan bakiyeleri” ve “işlem geçmişleri” bulunur.
Aşağıda tanımlanan tüm paketlerden bahsettik: –
- atom kod çözücüler
- trondekoderler
- Hayalet kod çözücüler
- güvenilir kod çözücüler
- çıkış kod çözücüleri
- cüzdan kod çözücüler
- ccl-localstoragerss
- göçler
- şifreleyiciler
- ccl_leveldbase’ler
Çalınan bilgiler daha sonra “dikkatlice yönetilen bir süreç” yoluyla “kodlandı” ve saldırganın uzak sunucularına “sızdı”.
Bu tedarik zinciri saldırısı, “yanlış popülerlik ölçümleri”, “ayrıntılı belgeler”, “stratejik paket adlandırma” ve paket güncellemeleri olmadan “harici kodu dinamik olarak alma ve yürütme yeteneği” kombinasyonu nedeniyle özellikle tehlikeliydi.
Kötü amaçlı yazılımın mimarisi, geleneksel “statik analiz araçlarını” atlamasına olanak tanırken, “uzaktan güncellemeler” yoluyla saldırı modellerini değiştirme esnekliğini de korudu.
Bu, açık kaynaklı yazılım tedarik zinciri saldırılarının gelişen karmaşıklığını göstermektedir.
IOC’ler
- hxxps[:]//pastebin[.]com/raw/FZUp6ESH
- hxxps://decry[.]giriş/kontrol
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri