Siber güvenlik araştırmacıları, MEXC kripto para birimi değişimine yerleştirilen ticaret siparişlerini kötü niyetli bir sunucuya ve çalma jetonlarına yeniden yönlendirmek için tasarlanmış Python Paket Dizin (PYPI) deposuna yüklenen kötü amaçlı bir paket açıkladı.
Paket, CCXT-MEXC-Futures, çeşitli kripto para birimi alışverişi ile bağlantı kurmak ve ödeme işleme hizmetlerini kolaylaştırmak için kullanılan CCXT (kripto para birimi ticareti kısaltması) adlı popüler bir Python kütüphanesinin üzerine inşa edilmiş bir uzatma olduğunu iddia ediyor.
Kötü niyetli paket artık PYPI’da mevcut değil, ancak Pepy.tech’teki istatistikler en az 1.065 kez indirildiğini gösteriyor.
JFrog araştırmacısı Guy Korovski, hacker News ile paylaşılan bir raporda, “Kötü amaçlı CCXT-Mexc-Futures paketinin yazarları, ReadMe dosyasında CCXT paketini MEXC’deki ‘vadeli işlemleri’ desteklemek için genişlettiğini iddia ediyor.” Dedi.
Bununla birlikte, kütüphanenin daha derin bir incelemesi, MEXC arayüzü – Conts_Private_Post_Order_Submit ve Contract_Private_Post_Order_Cancel ile ilişkili iki API’yi özellikle geçersiz kıldığını ve spot4_private_post_order_place adlı yeni bir yeni olanı tanıttığını ortaya koymuştur.
Bunu yaparken, geliştiricileri MEXC Exchange’de bir ticaret siparişi oluşturmak, iptal etmek veya bir ticaret siparişi vermek ve arka planda gizlice kötü niyetli eylemler gerçekleştirmek için bu API uç noktalarını çağırmak için kandırmaktır.
Kötü niyetli değişiklikler özellikle orijinal CCXT kütüphanesinde bulunan üç farklı MEXC ile ilgili işlevi hedeflemektedir. ֵ Açıklayın, imzalayın ve prepare_request_headers.
Bu, paketin yüklendiği yerel makinede keyfi kod yürütmeyi mümkün kılar ve MEXC’yi taklit eden sahte bir alandan bir JSON yükünü etkili bir şekilde alır (“v3.mexc. işçileri[.]geçersiz kılınan API’leri kötü niyetli bir üçüncü taraf platformuna yönlendirecek bir yapılandırma içeren dev “)[.]com “) gerçek MEXC web sitesinin aksine.
“Paket, MEXC entegrasyonu için API’da girişler oluşturur ve istekleri alan adına yönlendiren bir API kullanarak GreenTreeOne[.]com ve mexc sitesi mexc.com değil, “dedi Korolevski.
Diyerek şöyle devam etti: “Tüm talepler, saldırganlar tarafından kurulan alan adına yönlendirilir ve kurbanın kripto jetonlarını ve API anahtarları ve sırlar da dahil olmak üzere talepte aktarılan hassas bilgileri kaçırmalarına izin verir.”
Dahası, hileli paket, bir sipariş oluşturmak, iptal etmek veya sipariş vermek için bir istek gönderildiğinde saldırgan kontrollü alana MEXC API anahtarını ve gizli anahtarını göndermek için tasarlanmıştır.
CCXT-Mexc-Futures yükleyen kullanıcıların potansiyel olarak tehlikeye atılan jetonları iptal etmeleri ve paketi hemen yürürlüğe koymaları önerilir.
Gelişme, soketin tehdit aktörlerinin, kalıcılığı korumak ve verileri püskürtmek için ters bir kabuk başlatmak için NPM, Pypi, Go ve Maven ekosistemlerinde sahte paketlerden yararlandığını ortaya koymuştur.
Yazılım tedarik zinciri güvenlik şirketi, “Şüphesiz geliştiriciler veya kuruluşlar, kod tabanlarına, tespit edilmezse hassas verilere veya sistem sabotajına izin verebilecek güvenlik açıkları veya kötü niyetli bağımlılıklar dahil olabilir.” Dedi.
Ayrıca, üretken yapay zeka (AI) araçlarını güçlendiren büyük dil modellerinin (LLM’ler) var olmayan paketleri halüsinasyon yaparak ve geliştiricilere tavsiye ederek yazılım tedarik zincirini nasıl tehlikeye atabileceğini araştıran yeni araştırmalar izler.
Tedarik zinciri tehdidi, kötü niyetli aktörler, açık kaynak depolarına halüsinasyonlu isimlerle kötü amaçlı yazılımlarla dolu paketleri kaydettiklerinde ve yayınladığında, süreçte geliştirici sistemlerini enfekte ederek-slopsquatting olarak adlandırılan bir teknik.
Akademik çalışma, “halüsinasyonlu paketlerin ortalama yüzdesinin ticari modeller için en az% 5,2 ve açık kaynaklı modeller için% 21.7 olduğunu, bu tehdidin şiddetini ve yaygınlığını daha da vurgulayan 205.474 benzersiz halüsinasyonlu paket adları da dahil olmak üzere açık kaynaklı modeller için% 21.7 olduğunu” buldu.