CheckMarx Zero’dan yeni araştırmalar, Python ve NPM kullanıcılarını hem Windows hem de Linux sistemlerinde hedefleyen benzersiz bir kötü amaçlı yazılım kampanyasını tanıttı.
Güvenlik Araştırmacısı Ariel Harush, Checkmarx Zero’daki bu rahatsız edici yeni eğilimi siber saldırılarda belirledi. Hackread.com ile paylaşılan araştırmalarına göre, saldırganlar kullanıcıları zararlı yazılımları indirmek için kandırmak için yazım hatası ve isim çatışması tekniklerini kullanıyorlar.
Bu kampanyayı özellikle olağandışı yapan şey, çapraz ekosistem yaklaşmak. PYPI’ye (Python Paket Dizin) yüklenen kötü niyetli paketler, iki farklı programlama ekosisteminden meşru yazılım adlarını taklit eder: Colorama (terminallerde metne renk eklemek için popüler bir Python aracı) ve colorizr (NPM’de bulunan benzer bir JavaScript paketi, düğüm paket yöneticisi). Bu, bir saldırganın bir platformdan bir ad kullandığı, nadiren görülen bir taktik, nadiren görülen bir taktik hedeflemek için kullandığı anlamına gelir.
CheckMarx Zero tarafından ortaya çıkarılan paketler, hem masaüstü hem de sunucular üzerinde uzaktan erişim ve uzaktan kumanda sağlamak için tasarlanmış oldukça riskli yükler taşıdı. Bu, “hassas verileri hasat etmelerini ve dışarı atmalarını” sağlar, yani önemli bilgileri çalabilirler.
Windows sistemlerinde, kötü amaçlı yazılım, algılanmaktan kaçınmak için antivirüs yazılımını atlamaya çalışır. CheckMarx ayrıca bazı Windows yüklerini bir GitHub hesabına bağladı: githubcom/s7bhme.
Linux kullanıcıları için, kötü niyetli paketlerin, şifreli bağlantılar kurabilen, bilgi çalabilecek ve etkilenen sistemlerde gizli, uzun vadeli bir varlığı koruyabilen gelişmiş arka kapı içerdiği bulunmuştur.
Muhtemelen belirli hedeflere saldırmak için tasarlanan kampanya, açık atıf verilerinin olmaması nedeniyle şu anda izlenemiyor ve iyi bilinen bir düşmanla bağlantılı olup olmadığını belirsiz bırakıyor.
Neyse ki, bu özel kötü amaçlı paketler, hasara neden olma potansiyelini sınırlayan kamu yazılım depolarından kaldırılmıştır. Hemen tehdit alınmış olmasına rağmen, CheckMarx kuruluşlara benzer saldırılara hazır olmalarını tavsiye ediyor.
CheckMarx araştırmacıları blog yazılarında “Bu saldırı, yazım hatası ve ilgili isim karışıklık saldırıları, çapraz ekosistem yemleme ve çok platformlu yükleri birleştirerek, bu saldırı fırsatçı ve sofistike açık kaynaklı tedarik zinciri tehditlerinin nasıl hale geldiğini hatırlatıyor.
Araştırmacılar, bu kötü amaçlı paket adlarının herhangi bir belirtisi için tüm etkin ve kullanıma hazır uygulama kodunu kontrol etmeyi önerir. Zararlı paketleri kaldırmak ve gelecekteki kurulumlarını önlemek için eser gibi özel yazılım depolama alanlarını incelemek de çok önemlidir.
Ayrıca, şirketler bu tür tehlikeli paketlerin geliştirici bilgisayarlara veya test ortamlarına yüklenmemesini sağlamalıdır. Bu adımlar, bu tür sofistike açık kaynaklı tedarik zinciri saldırılarına karşı savunmak için hayati öneme sahiptir.