Silahlı PYPI Paketi Geliştiricileri Kaynak Kodunu Çalmayı Hedefler

RL’deki güvenlik araştırmacıları, PYPI’da Solana blockchain ile çalışan geliştiricileri avlamayı amaçlayan ve açık Source yazılım ortamında dolaşan devam eden tehlikelerin korkunç bir hatırlatıcısı olarak hizmet eden “Solana-Token” adlı kötü niyetli bir python paketi keşfettiler.

Blockchain uygulama geliştirme için bir hizmet olarak görünen bu paket, kaldırılmadan önce 600 kattan fazla indirildi ve kripto para birimi topluluğunu hedefleyen yazılım tedarik zinciri saldırılarının artan sofistike olmasını vurguladı.

Olay, saldırganlar hassas verileri dışarı atmak ve güvenli ortamlardan ödün vermek için giderek daha meşru araçları silahlandırdıkça, üçüncü taraf kütüphanelerine güvenen geliştiriciler arasında acil uyanıklık ihtiyacının altını çiziyor.

– Reklamcılık –

Kötü niyetli niyetli aldatıcı bir araç

Solana-Token paketi, 2017 yılında Solana Labs tarafından başlatılan ve Solana Vakfı tarafından yönetilen yüksek hızlı, düşük maliyetli bir blockchain platformu olan Solana için geliştirici yardımı olarak sundu.

Bununla birlikte, zararsız cephesinin altında, paket uğursuz işlevselliği barındırdı.

RL’nin analizine göre, komut ve kontrol sunucuları ile iletişimi belirlemek için IP adresleri ile ilgili ana bilgisayarlara, standart olmayan bağlantı noktalarına giden bağlantıları ve infosterer kötü amaçlı yazılımları gösteren dosya okuma davranışları da dahil olmak üzere, sabit kodlu URL’ler de dahil olmak üzere çeşitli kötü amaçlı yazılımlar sergiledi.

En endişe verici bir şekilde, paket içindeki belirli bir yöntem, Python yürütme yığınını taramak, yürütme zincirindeki dosyalardan kaynak kodunu çıkarmak ve bu verileri uzak bir sunucuya iletmek için tasarlandı.

Birincil amaç, geliştiricilerin kod tabanlarına yerleştirilmiş kripto para birimi cüzdanlarına özel anahtarlar veya erişim bilgileri gibi sert kodlanmış şifreleme sırlarının çalınması gibi görünmektedir ve bu saldırıyı potansiyel olarak yıkıcı ihlallerin öncüsü haline getirir.

Bu, Solana-Token adlı bir paketin ilk örneği değil, kötü niyetli olarak işaretleniyor.

Bir yıl önce, farklı sürüm numaralarına sahip benzer şekilde adlandırılmış bir paket (en son 0.0.1 ve 0.0.2’ye kıyasla 1.0.1 ve 1.0.2) tespit edildi ve PYPI güvenlik yöneticileri tarafından değil, yazarları tarafından gönüllü olarak kaldırıldı ve adı yeniden kullanım için kullanılabilir bıraktı.

RL, aynı tehdit aktörlerinin her iki kampanyanın da arkasında olduğuna dair kesin bir kanıt içermiyor olsa da, paket adının tekrarlanması şüpheleri arttırıyor.

RL’nin raporunu takiben, PYPI yöneticileri şimdi bu takma ad altında daha fazla yüklemeyi önlemesi gereken en son yinelemeyi kaldırdı.

Bu olay, 2024’te “Bipclip” gibi daha önceki kampanyalara paralel hale geliyor ve burada kripto cüzdanı kurtarma için BIP39 mnemonik ifadeleri hedefleyen yedi PYPI paketinin yaklaşık 7.500 kez indirildiği ve kripto geliştiricilerini hedefleme konusunda kalıcı bir eğilim sergiliyor.

Kripto tedarik zincirinde büyüyen bir tehdit

Solana-Token’in keşfi, kripto para birimi sektöründeki artan tedarik zinciri saldırıları riskini güçlendirir.

Atomik ve Çıkış cüzdanları gibi son kullanıcı uygulamalarını hedefleyen son istismarların aksine, bu paket, uygulama kodunu hasat etmeyi ve daha geniş saldırılar için bir basamak taşı olarak sırları yerleştirmeyi amaçlayan geliştiricilere açıkça sıfır.

Bu tür taktikler, geliştiricilerin açık kaynaklı depolara yerleştirdiği güven, yeniliği uzlaşma için vektörlere kolaylaştırmak için araçları çevirerek kullanır.

RL, geliştirme ekiplerini, beklenmedik ağ etkinliği veya hem açık kaynaklı hem de ticari üçüncü taraf modüller olarak yetkisiz dosya erişim gibi şüpheli davranışların izlenmesini yoğunlaştırmaya çağırıyor.

Kuruluşlar, güvenli ortamlara sızmadan önce kötü amaçlı kodları ele geçirerek yıkıcı saldırıları engelleyebilir ve kritik altyapıyı koruyabilir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!