PyPI (Python), npm (JavaScript), Ruby Gems ve NuGet (.NET) dahil olmak üzere popüler açık kaynaklı paket depolarındaki giriş noktalarından yararlanan karmaşık bir tedarik zinciri saldırısı tespit edildi.
Bu saldırı vektörü, hem bireysel geliştiriciler hem de kuruluşlar için önemli riskler teşkil ediyor ve açık kaynak ortamında daha kapsamlı güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Giriş noktaları, kullanıcıların bir paketin tam içe aktarma yolunu veya yapısını bilmesini gerektirmeden, komut satırı arabirimi (CLI) komutları gibi belirli işlevleri ortaya çıkarmak üzere tasarlanmıştır. Ancak saldırganlar bu özelliği kötü amaçlarla kullanmanın yollarını bulmuşlardır.
Checkmarx’a göre saldırı, popüler üçüncü taraf araçları veya sistem komutlarını taklit eden giriş noktalarını tanımlayan kötü amaçlı paketler oluşturarak çalışıyor.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Şüphelenmeyen geliştiriciler bu paketleri yüklediğinde ve daha sonra ilgili komutları çalıştırdığında, bilmeden zararlı kodun yürütülmesini tetiklerler.
Giriş Noktalarından Yararlanarak Tedarik Zinciri Saldırısı
Saldırganlar, operasyonlarının etkisini ve gizliliğini en üst düzeye çıkarmak için çeşitli taktikler kullanır:
Komuta Kriko: Kötü amaçlı paketler ‘aws’, ‘docker’ veya ‘npm’ gibi yaygın olarak kullanılan üçüncü taraf araçlarının kimliğine bürünür. Geliştiriciler bu komutları kullandığında, sahte sürümler potansiyel olarak hassas bilgileri sızdırabilir veya tüm bulut altyapısını tehlikeye atabilir.
Sistem Komutu Kimliğine Bürünme: Saldırganlar ‘dokunma’, ‘kıvrılma’ veya ‘ls’ gibi temel sistem yardımcı programlarını taklit eden giriş noktaları oluşturur. Bu yöntemin başarısı PATH sırasına bağlıdır ve yerel olarak kurulan paketler genellikle önceliklidir.
Komut Sarma: Algılanmayı önlemek için bazı saldırganlar orijinal komutun etrafına bir sarmalayıcı uygular. Bu teknik, meşru komutu çalıştırırken kötü amaçlı kodu sessizce yürütür, normal davranışı korur ve saldırının tespit edilmesini son derece zorlaştırır.
Giriş noktalarının kullanımı Python ekosistemiyle sınırlı değildir; npm (JavaScript), Ruby Gems, NuGet (.NET), Dart Pub ve Rust Crates dahil olmak üzere diğer büyük ekosistemleri de kapsar.
Checkmarx, bu yaygın güvenlik açığının, çeşitli programlama dilleri ve paket yöneticileri arasında giriş noktalarının nasıl işlediğine dair kapsamlı bir anlayışa duyulan ihtiyacın altını çizdiğini söyledi.
Etkiler ve Azaltma
Bu yeni saldırı vektörü hem bireysel geliştiriciler hem de kurumsal sistemler için önemli riskler teşkil ediyor. Geleneksel güvenlik kontrollerini atlama ve saldırganlara sistemleri tehlikeye atmak için gizli, kalıcı bir yöntem sunma potansiyeline sahiptir.
Bu riskleri azaltmak için uzmanlar şunları önermektedir:
- Üçüncü taraf paketler için daha sıkı inceleme süreçlerinin uygulanması
- Kurulu paketleri ve giriş noktalarını düzenli olarak denetlemek
- Potansiyel olarak zararlı paketleri izole etmek için sanal ortamları kullanma
- Şüpheli giriş noktalarını tespit edebilen kapsamlı güvenlik çözümlerinin kullanılması
Bu bulguların ışığında, geliştiricilerin ve işletmelerin açık kaynak tedarik zincirlerini güvence altına almak için dikkatli olmaları ve proaktif adımlar atmaları tavsiye ediliyor.
Bu, paketlerin kapsamlı güvenlik denetimlerinin yapılmasını, paket kurulumları için güvenilir kaynakların kullanılmasını ve açık kaynak topluluğundaki en son güvenlik tehditleri ve en iyi uygulamalar hakkında bilgi sahibi olmayı içerir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)