Python Paket Dizini (PyPI) deposunun yöneticileri paketi karantinaya aldı “aiocpa” Telegram aracılığıyla özel anahtarları sızdırmak için kötü amaçlı kod içeren yeni bir güncellemenin ardından.
Söz konusu paket, senkron ve asenkron Crypto Pay API istemcisi olarak tanımlanıyor. İlk olarak Eylül 2024’te yayınlanan paket bugüne kadar 12.100 kez indirildi.
Python kütüphanesini karantinaya alarak istemciler tarafından daha fazla kurulum yapılmasını önler ve bakımcıları tarafından değiştirilemez.
Geçtiğimiz hafta yazılım tedarik zinciri saldırısının ayrıntılarını paylaşan siber güvenlik ekibi Phylum, paketin yazarının kötü amaçlı güncellemeyi PyPI’ye yayınladığını ve tespitten kaçınmak için kütüphanenin GitHub deposunu temiz tuttuğunu söyledi.
Hileli güncellemenin arkasında orijinal geliştiricinin mi olduğu yoksa kimlik bilgilerinin farklı bir tehdit aktörü tarafından mı ele geçirildiği şu anda belli değil.
Kötü amaçlı etkinlik işaretleri ilk olarak kitaplığın 0.1.13 sürümünde tespit edildi; bu sürüm, paket yüklendikten hemen sonra gizlenmiş bir kod bloğunun kodunu çözmek ve çalıştırmak için tasarlanan Python komut dosyası “sync.py”de bir değişiklik içeriyordu.
Phylum, “Bu özel blob yinelemeli olarak 50 kez kodlanıyor ve sıkıştırılıyor” dedi ve kurbanın Crypto Pay API tokenını bir Telegram botu kullanarak yakalamak ve iletmek için kullanıldığını ekledi.
Crypto Pay’in, Crypto Bot (@CryptoBot) tabanlı bir ödeme sistemi olarak tanıtıldığını ve kullanıcıların kripto ödemeleri kabul etmelerine ve API’yi kullanarak kullanıcılara para aktarmalarına olanak tanıdığını belirtmekte fayda var.
Bu olay önemlidir, çünkü sadece ilgili depoları kontrol etmek yerine paketin kaynak kodunu indirmeden önce taramanın önemini vurgulamaktadır.
“Burada kanıtlandığı gibi, saldırganlar ekosistemlere kötü amaçlı paketler dağıtırken kasıtlı olarak temiz kaynak depolarını koruyabilirler” diyen şirket, saldırının “bir paketin önceki güvenlik kaydının, onun sürekli güvenliğini garanti etmediğini hatırlatma işlevi gördüğünü” de sözlerine ekledi.