Etkin bir kötü amaçlı yazılım kampanyası, Python Paket Dizini’ni (PyPI) ve Python ve JavaScript için npm havuzlarını, bir fidye yazılımı türü dağıtan yazım hatası yapılmış ve sahte modüllerle hedefleyerek, yazılım tedarik zincirlerini etkileyen en son güvenlik sorununu işaret ediyor.
Typosquatted Python paketlerinin tümü popüler istek kitaplığının kimliğine bürünür: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr , ve tequests.
Phylum’a göre, hileli paketler, kurbanın işletim sistemine ve mikro mimarisine bağlı olarak uzak bir sunucudan Golang tabanlı fidye yazılımı ikili dosyasını alan kaynak kodu yerleştiriyor.
Başarılı uygulama, kurbanın masaüstü arka planının, ABD Merkezi İstihbarat Teşkilatı’na (CIA) ait olduğu iddia edilen, aktör kontrollü bir görüntüye dönüştürülmesine neden olur. Ayrıca dosyaları şifrelemek ve kripto para cinsinden 100 dolarlık bir fidye talep etmek için tasarlanmıştır.
Saldırının PyPI ile sınırlı olmadığının bir işareti olarak, saldırganın npm’de beş farklı modül yayınladığı görüldü: discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd ve telnservrr.
Phylum CTO’su Louis Lang, “Saldırgan ayrıca benzer şekilde davranan birkaç npm paketi yayınladı,” dedi ve kitaplıkların her birinin fidye yazılımını dağıtmak için aynı kodun JavaScript eşdeğerini içerdiğini ekledi.
Bulgular, ReversingLabs’in 25 Eylül 2022 civarında başladığına inanılan yazılım geliştiricileri hedef alan devam eden bir tedarik zinciri saldırısının bir parçası olarak W4SP Stealer kötü amaçlı yazılımının değiştirilmiş sürümlerini zorlayan 10 ek PyPI paketinin bir dilimini ortaya çıkarmasıyla geldi.
Hepsi bu değil. Bu ayın başlarında, İsrail merkezli yazılım tedarik zinciri güvenlik firması Legit Security, yasal yapıları zehirlemek için GitHub Eylemlerini kötüye kullanan bir Rust deposuna (“rust-lang”) karşı yeni bir saldırı tekniği gösterdi.
Derleme yapıları, dağıtım paketleri, WAR dosyaları, günlükler ve raporlar gibi derleme işlemi tarafından oluşturulan dosyalardır. Aktör, gerçek modülleri trojenleştirilmiş sürümlerle değiştirerek hassas bilgileri çalabilir veya tüm alt kullanıcılarına ek yükler sağlayabilir.
Legit Security araştırmacısı Noam Dotan teknik bir yazıda, “Güvenlik açığı, deponun kodunu oluşturmaktan ve test etmekten sorumlu olan ‘ci.yml’ adlı bir iş akışında bulundu” dedi.
Bir saldırgan, bu zayıflıktan yararlanarak GitHub iş akışını kandırarak kötü amaçlı yazılım bulaşmış bir yapıyı çalıştırabilir ve havuz dalları, çekme istekleri, sorunlar ve yayınlarla etkin bir şekilde kurcalamayı mümkün kılar.
Rust programlama dilinin geliştiricileri, 15 Eylül 2022’deki sorumlu açıklamanın ardından 26 Eylül 2022’de sorunu ele aldı.