Bulut güvenliği, güvenlik işlemleri
Jfrog, çok aşamalı kötü amaçlı yazılımları hasat bulut sırlarını ortaya çıkarır
Prajeet Nair (@prajeaetspeaks) •
17 Haziran 2025
JFrog araştırmacıları Pazartesi günü yaptığı açıklamada, bir Python paketine gömülü çok aşamalı kötü amaçlı yazılımların hassas bulut altyapısı verilerini çaldığını söyledi.
Ayrıca bakınız: Talep üzerine | Bulut ortamlarında çeviklik, maliyet ve risk dengeleme
JFrog Güvenlik Araştırma Ekibi, adlı kötü amaçlı bir paketin keşfini açıkladı. chimera-sandbox-extensions Python Paket Dizin veya Pypi’de. Paket, kurumsal bulut ortamlarından kimlik bilgilerini, yapılandırma dosyalarını, API jetonlarını ve diğer verileri çalıyor.
Chimerai adlı bir kullanıcı tarafından yüklenen kötü amaçlı yazılım, Chimera Sandbox platformunu kullanarak geliştiricileri hedefler.
Saldırı dizisi, paketin adlı bir işlevi çağırmasıyla başlar. check_update() kurulumdan sonra. Bu işlev, sadece bir tane olan bir etki alanı oluşturma algoritması tarafından oluşturulan alanlara bağlanır. twdtsgc8iuryd0iu.chimerasandbox.workers.dev/authaktif. Bağlandıktan sonra, kötü amaçlı yazılım, daha sonra Python tabanlı bir infostealer olan ikinci bir yükü çekmek için kullanılan bir kimlik doğrulama jetonunu alan birinci aşama yükü indirir ve yürütür.
Bu ikinci aşama kötü amaçlı yazılım, JAMF makbuzları, GIT yapılandırmaları, CI/CD boru hattı değişkenleri, Zscaler konfigürasyonları, AWS belirteçleri ve sistem meta verileri dahil olmak üzere yüksek değerli verileri hedefler. Çalınan bilgiler bir JSON nesnesine paketlenir ve POST isteği aracılığıyla komut ve kontrol sunucusuna geri gönderilir. Kötü amaçlı yazılım mantığı, üçüncü bir yükün dağıtılabileceğini gösteriyor, ancak JFrog analiz sırasında bu yükü tanımlamamıştır.
JFrog, kötü niyetli paketi, onu kaldıran PYPI bakımcılarına bildirdi. Araştırmacılar, kötü amaçlı yazılımların sofistike ve hedefli doğasının onu jenerik infostalers’tan ayırtığını söyledi. Kurumsal ve bulut geliştirme ortamlarını kullanan kuruluşlar için önemli bir risk oluşturmaktadır.
Araştırmacılar, chimera-sandbox-extensions Paket, açık kaynaklı yazılım tedarik zincirindeki sürekli gelişen risklerin bir hatırlatıcısıdır. Kalkınma ve güvenlik ekipleri, bu tür sofistike ihlallerin kritik altyapı tehlikeye atmasını önlemek için çok katmanlı savunma stratejileri benimsemelidir.