Tüm yeni kullanıcıların ve paket yüklemelerinin geçici olarak askıya alınmasının ardından, Python Paket Dizini (PyPI) deposu yedeklendi ve çalışıyor. Pek çok kişi, suçlunun siteyi çok sayıda kötü amaçlı paketle doldurması olduğunu belirtti – ancak bir PyPI yöneticisi, olağan dışı bir bolluk olmadığını, olağan bolluğu gidermek için normalden daha az sayıda insan olduğunu belirtti.
PyPI, sitenin ana sayfasına göre 700.000’den fazla kullanıcıya ve 450.000’den fazla projeye hizmet veren Python için resmi yazılım deposudur. Popülaritesi yalnızca geliştiricileri değil, tedarik zinciri ihlallerinde ilk adım olarak kötü amaçlı paketler yüklemek isteyen bilgisayar korsanlarını da cezbetti.
Cumartesi öğleden sonra (UTC) başlayarak, PyPI yeni kullanıcı ve proje kayıtlarını geçici olarak askıya aldı. Sitenin yöneticileri bir olay raporunda, “Geçen hafta dizinde oluşturulan kötü niyetli kullanıcıların ve kötü niyetli projelerin hacmi, özellikle birden fazla PyPI yöneticisi izinliyken, buna zamanında yanıt verme yeteneğimizi geride bıraktı.”
Birçok haber sitesi, sitenin ya anormal bir kötü niyetli faaliyet dalgasının ya da doğrudan bir siber saldırının kurbanı olduğunu bildirdi. Ve araştırma şirketi Checkmarx bir blogda durumu “birkaç açık kaynak kayıt defterinde çok büyük miktarda kötü amaçlı paket yayınlayan aktörlerdeki” artışın bir parçası olarak nitelendirdi.
Ancak Python Yazılım Vakfı’nın altyapı direktörü Ee Durbin, Dark Reading’e kapatmanın gerçek koşullarının sanıldığından çok daha az dramatik olduğunu söylüyor.
Durbin, “Bu hafta sonu sadece bir insan kapasitesi meselesiydi” diyor. “Etkili olarak, her zamanki üç PyPI yöneticisinden raporları işlemek için yalnızca bir PyPI yöneticisi vardı ve onların (benim) bir haftasonuna ihtiyaçları vardı.”
21 Mayıs (UTC) akşamı itibariyle, PyPI yürürlükteki idari ekibiyle bir kez daha her zamanki gibi faaliyet gösteriyordu.
Açık Kaynak Yazılım Depoları Hakkında Neden Endişe Ediyoruz?
PyPI’nin 30 saatlik kapanmasıyla ilgili gürültünün en azından bir kısmı, açık kaynak güvenliğinin durumuyla ilgili artan korkularla açıklanabilir.
Phylum’un kurucu ortağı ve CSO’su Peter Morgan, “Geçtiğimiz iki yıl içinde saldırıların sayısının hızla arttığını gördük” diyor. 2023’ün ilk çeyreğinde Phylum, PyPI, npm ve Nuget gibi popüler depolarda yayınlanan 2,8 milyon paketi analiz etti; bunların 18.016’sı kurulum sırasında şüpheli kod çalıştırdı, 6.099’u bilinen kötü amaçlı URL’lere atıfta bulundu ve 2.189’u belirli kuruluşları hedef aldı.
Kötü amaçlı paketler bugün o kadar yaygınlaşıyor ki, bazı bilgisayar korsanları artık onları saklama ihtiyacı hissetmiyor.
Morgan, “Gittikçe daha fazla sayıda saldırgan bunun ne kadar kolay olduğunun farkına varıyor. Herhangi bir beceri gerektirmiyor. İnternetten komut dosyaları indirebilir ve bunları açık kaynak tedarik zincirini kirletmek için kullanabilirsiniz,” diye açıklıyor Morgan. “Ayrıca masrafsız. Para harcamanıza gerek yok. Anonim hesaplarla ücretsiz yapabilirsiniz.”
Morgan, günümüzde yazılım söz konusu olduğunda, “çok fazla bağımlılık var. Saldırganın tek yapması gereken, bilgisayarınızda ele geçirmek için bağımlılık zincirine bir ayağını sokmak. Yani savunmacı,” diye devam ediyor. [has a] Burada büyük dezavantaj. Saldırganın sadece bir kez kazanması gerekiyor.”
Buna karşılık, açık kaynaklı yazılım kullanan kuruluşlar şunları okuyun: Tümü kuruluşlar — bu tür düşük seviyeli saldırganlara karşı bile savunma yapmakta çok daha zorlanır, bu da daha iyi paket denetimi, bağımlılıkları izlemek için yeni araçların geliştirilmesi ve yazılım malzeme listeleri (SBOM’ler) için çağrılara yol açar.
Herkes kadar depoların bakımıyla görevli olanlar da bu konuların farkındadır. Durbin, “Projelerinizde veya ‘pip install’ ile komut satırında, genel bir dizinden yükleme yaparken her zaman düzenli olarak dikkatli olunmalıdır” diyor.
Depolar, Kötü Amaçlı Paketlerle Savaşmak İçin Değişiklikler Yapıyor
Tarihsel olarak, veri havuzları sayıları çok daha fazla olan rakiplerine ayak uydurmak için mücadele etmiştir. Endişeleri gidermek için Durbin, “çok daha sürdürülebilir ve potansiyel olarak otomatikleştirilmiş kötü amaçlı yazılım raporlarının yakında kullanıma sunulmasına olanak sağlayacak heyecan verici gelişmelere sahibiz” diyor.
Python Software Foundation ayrıca kısa bir süre önce, Python güvenliğini genel olarak iyileştirmeyi amaçlayan bir yerleşik güvenlik geliştiricisi rolü ekledi. Ve sadece birkaç hafta önce Durbin, PyPI’nin görevi özellikle PyPI’nin güvenliğine odaklanmak olacak bir emniyet ve güvenlik mühendisi işe alacağını duyurdu.
Önümüzdeki yıllarda tedarik zinciri güvenliği, halka açık depoları temiz tutma ve temiz olmadıklarında kendimizi koruma becerimizi harekete geçirecek. Durbin sözlerini şöyle tamamlıyor: “Herkes güvenlik açıkları olan şeyleri bulmaya çok ama çok odaklanmış durumda, ancak yazılım güvenlik açıkları günümüzde saldırganların bilgisayarlara girmek için kullandıkları şeyler değil. Kötü amaçlı paketler oluşturuyorlar.”