Revival Hijack, 22.000 PyPI Paketini Ele Geçiren Yeni Saldırı

   Eylül 5, 2024  Posted in CyberSecurityNews


Revival Hijack, 22.000 PyPI Paketini Ele Geçiren Yeni Saldırı

Bilgisayar korsanları genellikle geniş kullanıcı tabanları ve açık kaynaklı yapıları nedeniyle PyPI paketlerini hedef alırlar. Bu, tehdit aktörlerinin açık kaynaklı bir ekosistem içinde kötü amaçlı kod dağıtmasına yardımcı olur.

PyPI’nin merkezi olmayan yapısı, güvenlik uzmanlarının kötü amaçlı faaliyetleri izlemesini ve tespit etmesini zorlaştırıyor ve bu da tehdit aktörlerinin kullanıcıların popüler paketlere olan güvenini suistimal etmesine olanak tanıyor.

DÖRT

JFrog araştırmacıları yakın zamanda 22.000 PyPI paketini ele geçiren yeni bir saldırı tespit etti ve yeni saldırıya “Revival Hijack” adı verildi.

Teknik analiz

“Revival Hijack” saldırı vektörünün, güdüye bağlı olarak muhtemelen yüz binlerce bu tür artışa yol açması muhtemeldir.

Bu teknik, kötü amaçlı yazılım yayılımı için terk edilmiş paket adlarının kötü amaçlı kazınması için geçerlidir. Araştırmacılar bunu “pingdomv3” paket ele geçirmesinde eylem halinde fark ettiler.

Terk edilmiş paketlerden biri (Kaynak - JFrog)
Terk edilmiş paketlerden biri (Kaynak – JFrog)

Sistemin önemli kaynaklarının kaybını önlemek için daha iyi gözetim ve sistemin güvenlik endişelerine daha hızlı yanıt verilmesi gibi çeşitli adımlar atıldı.

Revival Hijacking, özellikle PyPI olmak üzere açık kaynaklı yazılım depolarında karmaşık bir saldırı vektörü sunmaktadır.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Kullanıcı girdisi hatalarından faydalanan typosquatting’in aksine, bu teknik paket adlarının silindikten hemen sonra kullanılabilir olmasından yararlanır.

'Revival Hijack' PyPI saldırısının çizimi (Kaynak - JFrog)
‘Revival Hijack’ PyPI saldırısının çizimi (Kaynak – JFrog)

Tehdit aktörleri bu isimleri kaydedip, daha önce güvenilen kimliklerin altına zararlı kodlar enjekte edebilirler.

Bu, özellikle CI/CD boru hatlarında ve otomatik güncellemeler kullanan kullanıcılar için önemli riskler oluşturur. Bunun yanı sıra, analiz önemli indirme geçmişlerine sahip 22.000’den fazla savunmasız paket tespit etti.

Saldırının uygulanabilirliğini kanıtlamak için araştırmacılar, yüksek riskli paketleri güvenli bir şekilde rezerve etmek için bir “security_holding” hesabı oluşturdular ve bu hesap sayesinde sadece üç ayda yaklaşık 200.000 indirme elde edildi.

Aşağıda PyPI’nin mevcut tüm güvenlik önlemlerinden bahsettik:

  • Normalleştirilmiş ad eşleştirme (paket adlarını standartlaştırmak için SQL regex işlemlerini kullanma).
  • Benzerlik kontrolleri bu tehdide karşı yetersiz kalıyor.
Pingdomv3 saldırı zaman çizelgesi (Kaynak - JFrog)
Pingdomv3 saldırı zaman çizelgesi (Kaynak – JFrog)

Saldırının gücünü gösteren gerçek dünya örneklerinden biri de ‘pingdomv3’ paketidir.

Orijinal paket Mart 2024’te terk edildi ve hızla Jenkins CI ortamlarını hedef alan kötü amaçlı bir sürümle değiştirildi.

Tehdit aktörleri, harici bir URL’den (https://yyds.yyzs.workers.dev/meta/statistics) bir yükü teslim etmek için Base64 karartma ve dinamik kod yürütme (Python’un exec() fonksiyonu aracılığıyla) kullandılar.

Bu teknik, basit statik analizlerden kaçınarak IP aralıklarına veya diğer çevresel faktörlere dayalı hedefli saldırıların gerçekleştirilmesine olanak sağlar.

Ancak senaryonun tamamı, paket yönetim sistemlerinde daha fazla güvenlik önlemine ihtiyaç duyulduğunu ortaya koyuyor.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!



Source link