Güvenlik Operasyonları
Bilgisayar Korsanları Artık Kod Depolarını Kötü Amaçlı Yazılım Vektörleri Olarak Kullanıyor
Sayın Mihir (MihirBagwe) •
29 Mart 2024
Python kod deposu PyPI, yasal yazılım paketlerini taklit eden kötü amaçlı yazılım içeren kodlardaki artışın ardından üç ay içinde ikinci kez yeni kullanıcı kaydını geçici olarak durdurdu.
Ayrıca bakınız: Bulut Ağ Güvenliği: Yazılım Güvenlik Duvarlarının Rolü
Checkmarx ve Phylum'dan siber güvenlik araştırmacıları, geliştiricileri kandırmak için Python Paket Dizini deposunu (kısaca PyPI) iyi bilinen paketlerin yazım hatası yapılmış sürümleriyle dolduran tehdit aktörlerini gözlemledi. PyPI, yaklaşık 10 saatlik kesintinin ardından Perşembe günü erken saatlerde hizmetleri yeniden başlattı.
Siber suçlular, orijinal projelerin 500'den fazla yazım hatası yapılmış varyasyonunu yayınladı. Paketler, içinde kötü amaçlı kod barındırıyordu. setup.py dosya. Kod, uzak bir sunucudan ikincil bir veri aldı ve web tarayıcılarından veri çalmak için tasarlanmış bir bilgi hırsızı kullandı. Çalınan veriler arasında şifreler, çerezler, uzantı verileri ve kripto cüzdanlar yer alıyordu.
Aralık ayı sonlarında “kötü niyetli kullanıcıların ve projelerin” akını benzer eylemleri gerektirdi.
Checkmarx, “Bu olay münferit bir durum değil ve paket depolarını ve yazılım tedarik zincirlerini hedef alan benzer saldırıların devam etmesi muhtemel” dedi.
Phylum'un ekibi, “PyPI'nin hızlı ve sert tepkisi şüphesiz bu saldırının etkilerini hafifletmeye yardımcı olsa da, tüm ekosistemlerin böyle bir saldırıyla başa çıkmada o kadar hızlı ve etkili olmadığını belirtmekte fayda var.” dedi.
PyPI, Python geliştiricilerinin kullanması için yazılım paketlerini barındıran ve dağıtan bir depodur. Python ekosistemi, paketlerin doğrulanmasına yardımcı olmak amacıyla dijital kanıtlara yönelik dizin desteğini sonlandırıyor.
PyPI, yakın zamanda bilgisayar korsanlarının saldırısına uğrayan tek kod deposu değil. Şubat ayında uygulama güvenliği firması Apiiro'dan araştırmacılar, 100.000'den fazla GitHub deposunun (muhtemelen milyonlarca kişinin) kötü amaçlı kod bulaşmış, bilinen ve güvenilir depoların benzer kopyalarını oluşturmaya yönelik bir kampanyadan etkilendiğini söyledi (bkz.: İhlal Özeti: Beyaz Saray, Hafıza açısından Güvenli Diller Çağrısında Bulundu).
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı ve Açık Kaynak Güvenlik Vakfı, Şubat ayında yazılım depoları için en iyi uygulamaları yayınladı. CISA Direktörü Jen Easterly, Mart ayı açık kaynak yazılım güvenliği konferansında şunları söyledi: “Paket depoları, açık kaynak yazılımın genel güvenlik duruşunu tüm kullanıcılara fayda sağlayacak şekilde geliştirmek için benzersiz bir şekilde konumlandırılmıştır.” CISA Açık Kaynak Ekosistemini Güvenceye Almak İçin Yeni Çabalar Başlatıyor).