Siber güvenlik araştırmacıları, Python Paket Endeksi (PyPI) deposunda, Solana blok zinciri platformundan bir kütüphane gibi görünen ancak aslında kurbanların sırlarını çalmak için tasarlanmış yeni bir kötü amaçlı paket keşfettiler.
“Meşru Solana Python API projesi GitHub’da ‘solana-py’ olarak bilinir, ancak Python yazılım kayıt defteri PyPI’de basitçe ‘solana’ olarak bilinir,” dedi Sonatype araştırmacısı Ax Sharma geçen hafta yayınlanan bir raporda. “Bu küçük adlandırma tutarsızlığı, PyPI’de bir ‘solana-py’ projesi yayınlayan bir tehdit aktörü tarafından kullanıldı.”
Kötü amaçlı “solana-py” paketi, 4 Ağustos 2024’te yayınlandığından bu yana toplam 1.122 kez indirildi. Artık PyPI’den indirilemiyor.
Kütüphanenin en dikkat çekici yönü 0.34.3, 0.34.4 ve 0.34.5 sürüm numaralarını taşımasıdır. Meşru “solana” paketinin son sürümü 0.34.3’tür. Bu, tehdit aktörünün “solana” arayan kullanıcıları yanlışlıkla “solana-py” indirmeye kandırma girişimini açıkça göstermektedir.
Dahası, sahte paket gerçek kodu muadilinden ödünç alıyor, ancak sistemden Solana blok zinciri cüzdan anahtarlarını toplamaktan sorumlu olan “__init__.py” betiğine ek kod enjekte ediyor.
Bu bilgi daha sonra tehdit aktörü tarafından işletilen bir Hugging Face Spaces etki alanına (“treeprime-gen.hf”) sızdırılır.[.]”space”), tehdit aktörlerinin kötü amaçlar için meşru hizmetleri nasıl kötüye kullandığını bir kez daha vurguluyor.
Saldırı kampanyası, Sonatype’nin araştırmasında “solders” gibi meşru kütüphanelerin PyPI belgelerinde “solana-py” ifadesine atıfta bulunduğunun bulunması nedeniyle tedarik zinciri açısından risk teşkil ediyor. Bu durum, geliştiricilerin yanlışlıkla PyPI’den “solana-py” ifadesini indirip saldırı yüzeyini genişletmiş olabileceği bir senaryoya yol açıyor.
Sharma, “Başka bir deyişle, uygulamasında meşru ‘solders’ PyPI paketini kullanan bir geliştirici, (solders’ın dokümantasyonu tarafından) yanlış yönlendirilip yanlış adrese sahip ‘solana-py’ projesine kanarsa, istemeden uygulamasına bir kripto hırsızı sokmuş olur” şeklinde açıklama yaptı.
“Bu sadece onların sırlarını değil, geliştiricinin uygulamasını çalıştıran herhangi bir kullanıcının sırlarını da çalacaktır.”
Açıklama, Phylum’un kayıt defterinde Tea protokolünün kötüye kullanımına dair işaretler içeren yüz binlerce spam npm paketi tespit ettiğini açıklamasının ardından geldi; söz konusu kampanya ilk olarak Nisan 2024’te gün yüzüne çıkmıştı.
“Tea protokol projesi bu sorunu gidermek için adımlar atıyor,” dedi tedarik zinciri güvenlik firması. “Tea protokolündeki meşru katılımcıların ücretlerinin, başkaları sistemi dolandırdığı için düşürülmesi adil olmaz. Ayrıca, npm bu spam göndericilerinden bazılarını kaldırmaya başladı, ancak kaldırma oranı yeni yayın oranıyla uyuşmuyor.”