Python Paket Endeksi (PYPI), bir ay süren dönemde 1.500’den fazla sahte proje yüklemesiyle sonuçlanan sofistike bir spam kampanyasının ardından Inbox.ru e-posta etki alanı kayıtlarına derhal bir yasak uyguladı.
9 Haziran 2025’te başlayan saldırı, depoyu sistematik olarak sular altında bırakan 250’den fazla kullanıcı hesabı oluşturulmasını, paket karışıklık güvenlik açıklarından yararlanmak için tasarlanmış boş paketlerle oluşturulmasını içeriyordu.
Kampanya, büyük ölçekli depo istismarına metodik bir yaklaşım gösterdi, saldırganlar ilk olarak yükleme saldırılarını başlatmadan önce iki faktörlü kimlik doğrulama ve API jetonları ile tamamlanan meşru görünen hesaplar oluşturdu.
Sahte projeler gerçek bir kod içermiyordu, ancak “Slopsquatting” olarak bilinen bir teknik olan meşru paketlerin kurulumlarını potansiyel olarak engellemek için stratejik olarak adlandırıldı.
Bu yaklaşım, geleneksel kötü amaçlı yazılım dağılımından farklıdır, bunun yerine karışıklık yaratmaya ve potansiyel olarak gelecekteki saldırılar için altyapı hazırlamaya odaklanmaktadır.
PYPI analistleri, bir kullanıcının AI dil modelinin (Sonnet 4) var olmayan bir paketin kurulmasını önerdiğini bildirdikten sonra 8 Temmuz 2025’te kötü niyetli etkinliği belirledi.
Bu keşif derhal soruşturmayı başlattı ve yaklaşık bir aydır tespit edilmeyen koordineli kampanyanın tam kapsamını ortaya koydu.
Saldırı Metodolojisi ve Zaman Çizelgesi Analizi
Saldırganlar, dikkatli bir hesap kuruluşu ile başlayan ve büyük yükleme hacimleriyle sonuçlanan sofistike çok fazlı bir yaklaşım kullandılar.
İlk keşif 9 Haziran’da, iki faktörlü kimlik doğrulama kurulumu da dahil olmak üzere tek, tam olarak doğrulanmış bir hesap oluşturulmasıyla başladı.
Daha sonra kampanya hızla arttı, 46 hesap 11 Haziran’da üç saat içinde oluşturuldu ve ardından 24 Haziran’da sadece dört saat içinde kuruldu.
Yükleme aşaması 26 Haziran’da dokuz ilk projeyle başladı ve 30 Haziran’da 740 sahte paketin tek bir gün içinde yüklendiği bir kreşendo inşa etti.
Projeler, komut satırı arabirimi giriş noktalarını hedefledi ve bu yürütme arayüzlerinin gerçek PYPI proje adıyla eşleşmesi gerekmediği ve paket karışıklık saldırıları için fırsatlar yaratması gerektiği gerçeğinden yararlandı.
PYPI yöneticileri keşif üzerine hızlı bir şekilde yanıt verdi, 1.525 kötü niyetli projenin tamamını kaldırdı, ilgili hesapları devre dışı bıraktı ve Inbox.RU kayıtlarında etki alanı düzeyinde kısıtlamalar uyguladı.
Depo bakıcıları, bu eylem güvenlik için gerekli olsa da, e -posta sağlayıcısının kötüye kullanım önleme önlemleri göstermesi durumunda kararı tersine çevirmeye açık kaldıklarını vurguladı.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.