Genel kod depolarına sızan kötü amaçlı paketlerin bir başka örneğinde, şifreler ve Api belirteçleri gibi kritik veri noktalarını toplama yetenekleri nedeniyle Python Paket Dizini’nden (PyPI) 10 modül kaldırıldı.
İsrailli siber güvenlik firması Check Point Pazartesi günü yayınladığı bir raporda, paketlerin “saldırganların geliştiricinin özel verilerini ve kişisel kimlik bilgilerini çalmasını sağlayan bilgi hırsızları kuruyor” dedi.
Hatalı paketlerin kısa bir özeti aşağıdadır –
- Ascii2textGoogle Chrome, Microsoft Edge, Brave, Opera ve Yandex Browser gibi web tarayıcılarında depolanan şifreleri toplayan hain bir komut dosyası indiren .
- Pyg-utils, Pymocks ve PyProto2kullanıcıların AWS kimlik bilgilerini çalmak için tasarlanmıştır
- Test-async ve Zlibsrcyükleme sırasında kötü amaçlı kodu indiren ve yürüten
- Free-net-vpn, Free-net-vpn2 ve WINRPCexploitkullanıcı kimlik bilgilerini ve ortam değişkenlerini çalan ve
- Tarayıcıdivweb tarayıcısının Yerel Depolama klasöründe kayıtlı kimlik bilgilerini ve diğer bilgileri toplama yeteneğine sahip
Açıklama, tehdit aktörlerinin yazılım tedarik zincirini bozmak amacıyla PyPI ve Node Package Manager (NPM) gibi yaygın olarak kullanılan yazılım havuzlarında hileli yazılımlar yayınladığı son zamanlarda hızla büyüyen bir listenin en sonuncusu.
Her halükarda, bu tür olayların oluşturduğu yüksek risk, üçüncü taraf ve açık kaynaklı yazılımları halka açık havuzlardan indirmeden önce inceleme ve durum tespiti yapma ihtiyacını artırır.
Kötü Amaçlı NPM Paketleri Discord Jetonlarını ve Banka Kartı Verilerini Çalıyor
Daha geçen ay Kaspersky, NPM paketi kayıt defterinde, Discord belirteçlerini ve bağlantılı kredi kartı bilgilerini çalmak için tasarlanmış, yüksek oranda gizlenmiş kötü amaçlı Python ve JavaScript kodunu içeren küçük sm, kalıcı geçerlilikler, lifeculer ve proc-title olmak üzere dört kitaplığı açıkladı.
LofyLife olarak adlandırılan kampanya, bu tür hizmetlerin, kötü amaçlı yazılımları görünüşte yararlı kitaplıklar gibi giydirerek önemli sayıda alt kullanıcıya ulaşması için bu tür hizmetlerin nasıl kazançlı bir saldırı vektörü olduğunu kanıtlıyor.
Araştırmacılar, “Tedarik zinciri saldırıları, bir kuruluş ile dış taraflar arasındaki güven ilişkilerinden yararlanmak için tasarlandı” dedi. “Bu ilişkiler, ortaklıkları, satıcı ilişkilerini veya üçüncü taraf yazılımların kullanımını içerebilir.”
“Siber tehdit aktörleri bir organizasyonu tehlikeye atacak ve ardından diğer kuruluşların ortamlarına erişmek için bu güvenilir ilişkilerden yararlanarak tedarik zincirini yukarı taşıyacaktır.”