3. Taraf Risk Yönetimi, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Palo Alto, Arka Kapılı Python Paketlerinin Muhtemelen ‘Parlayan Balıkların’ İşi Olduğunu Söylüyor
Prajeet Nair (@prajeetskonuşuyor) •
23 Eylül 2024
Kripto para çalma geçmişi olan bir Kuzey Koreli bilgisayar korsanı grubunun, Linux ve macOS işletim sistemleri üzerinde çalışan geliştiricileri hedef alan bir dizi zehirli Python paketinin arkasında olduğu tahmin ediliyor; bu, tedarik zincirine yönelik bir saldırı girişimi gibi görünüyor.
Ayrıca bakınız: Üçüncü Taraf Risk Yönetiminde Ortaya Çıkan Tehditlerin İzlenmesi ve Azaltılması
Palo Alto’daki 42. Birim’deki araştırmacılar, kötü amaçlı yazılım yüklü Python kodunun PyPI açık kaynak deposuna yüklendiği bir kampanyayı, orta güvenle “Parlayan Balıklar” olarak izlenen Kuzey Kore bağlantılı APT grubuna bağladılar.
Citrine Sleet olarak da bilinen grubun ünü, kripto para yatırımcılarını hedef alan bir AppleJeus kötü amaçlı yazılımının bir versiyonunu dağıtmasından geliyor.
Enfeksiyon zinciri, kodlanmış kodu çözen ve yürüten birkaç Python paketini içerir. Araştırmacılar, “Python kötü amaçlı paketi kurduktan ve yükledikten sonra, kötü amaçlı bir kod parçası sonunda RAT’ı indirmek için birkaç bash komutu çalıştırdı, izinlerini değiştirdi ve yürüttü,” dedi.
Kuzey Kore kalıtsal Juche mutlak monarşisi, kitle imha silahlarının geliştirilmesini finanse etmek ve sıkı yaptırımlara tabi ekonomiye sert para enjekte etmek için aktif olarak kripto para çalıyor. Pyongyang AppleJeus hacker’ları geçmişte yazılım tedarik zincirini hedef aldılar – 2023’te, eski bir ticaret yazılım paketine eklenen bir kusurun, 3CX tarafından yapılmış ve Toyota, Coca-Cola ve Air France gibi çok uluslu şirketler tarafından kullanılan bir masaüstü telefon uygulamasını tehlikeye atmalarına yol açmasıyla beklentilerin ötesinde başarılı oldular (bkz: Kuzey Koreli Hackerlar 3CX’e Ulaşmak İçin Tedarik Zinciri Saldırılarını Zincirledi).
Yaygın olarak kullanılan bir Python kütüphaneleri deposu olan PyPI, kötü niyetli kullanıcıların tekrar tekrar hedefi olmuştur. Yöneticiler, tehdit aktörlerinin geliştiricileri aldatmak için iyi bilinen paketlerin typosquatted sürümleriyle deponun dolmasını takiben Mart ayında yeni kullanıcı kayıtlarını ikinci kez durdurdu (bkz: Kötü Amaçlı Yazılım Sel Baskını PyPI’nin Yeni Hesapları Geçici Olarak Durdurmasına Neden Oldu).
Araştırmacılar, “Tehdit aktörünün amacının, geliştiricilerin uç noktaları aracılığıyla tedarik zinciri tedarikçilerine erişimi güvence altına almak ve daha sonra tedarikçilerin müşterilerinin uç noktalarına erişim sağlamak olduğunu değerlendiriyoruz” dedi.
Palo Alto tarafından tespit edilen kötü amaçlı paketlerin artık PyPI’da bulunmadığını, ancak üçüncü taraf yazılım kullanan kuruluşlar üzerindeki etkisinin önemli olmaya devam ettiğini eklediler.
Kuzey Kore atıfı, araştırmacıların önceki bir AppleJeus arka kapısıyla örtüşen kod yapısı, tanımlama işlevi adları ve şifreleme anahtarları ve benzer yürütme akışları bulmasının ardından geldi. Palo Alto bu kampanyadaki arka kapıya PondRAT adını verdi. Mandiant’ın 2023’te 3CX’e karşı yapılan tedarik zinciri saldırısında tespit ettiği bilinen bir Kuzey Kore arka kapısı olan PoolRat ile birçok özelliği paylaşıyor.
Palo Alto tarafından macOS için gözlemlenen bir PondRAT çeşidi de kullanıldı rebelthumb.net komuta ve kontrol alanı olarak. Volexity 2022’de ana bilgisayar adını bir AppleJeus sunucusu olarak tanımladı.
Artık kaldırılan Python paketleri şunlardır: real-ids 893 indirme ile, coloredtxt 381 indirme ile; beautifultext 736 indirme ile ve minisound 416 indirme ile.