Tehdit aktörleri, kötü amaçlı kod yaymak için açık kaynaklı güvenlik açıklarından yararlanır

Fordiguard Labs, tedarik zinciri ekosistemleri içindeki kötü amaçlı yazılım yayma için açık kaynaklı yazılım (OSS) depolarının kullanımı konusunda sürekli bir eğilim bildirmiştir.

Geliştirme iş akışları giderek daha fazla üçüncü taraf paketlere bağlı olduğundan, rakipler NPM ve PYPI gibi platformlardaki kötü niyetli kodlar enjekte etmek, veri pessfiltrasyonunu kolaylaştırmak ve daha geniş hasar vermek için güvenlik açıklarından yararlanmaktadır.

Tescilli AI odaklı kötü amaçlı yazılım algılama ve gerçek zamanlı izlemeden yararlanan Fortiguard’ın sistemleri, ortaya çıkan tehditlerin proaktif olarak tanımlanmasını sağlar.

OSS tedarik zinciri saldırıları

Çeyrek 2025’ten gelen analiz, bu saldırı vektörlerinin metodolojide büyük ölçüde değişmeden kaldığını ve artan farkındalığa rağmen temel taktiklerin devam ettiğini göstermektedir.

Bu dönemde, 1,4 milyondan fazla NPM paketi ve 400.000 PYPI paketi tarandı ve bu da önemli miktarda kötü amaçlı artefakt ortaya çıkardı.

Anahtar davranışlar, düşük dosya sayımlarının yüksek insidansını, bağlantılı depoları yok, algılama izlerini en aza indirmek, kaçınma izlenebilirliğini yürütmek ve yüklemeleri yürütmek için tasarlanmış binden fazla teyit edilen vakadan istatistiksel bilgilerle kurulum veya yükleme komut dosyaları yoluyla veri açığa çıkmasını içerir.

Önceki çeyreklere kıyasla, şaşkınlık katmanlarında dikkate değer bir artış vardı, saldırganların statik ve dinamik analizi karmaşıklaştırma çabalarını vurguladı.

Derinlemesine sınav

Belirli örneklere giren birkaç PYPI paketi, basit-Mali-PKG-0.1.0, Configum-0.3.5, Sinontop-Utils-0.3.5, Solana-sdkpy-1.2.5 ve Solana-sdkpy-1.2.6 dahil olmak üzere bu taktikleri örneklendirir.

Bu eserler, komut dosyası yürütme, komut üzerine yazma, minimal dosya yapıları ve çok katmanlı şifreleme yükleme, kimlik bilgisi ve cüzdan hırsızlığı işlemlerini gizlemek için kullanır.

Örneğin, basit-mali-pkg-0.1.0 içindeki setup.py dosyası, şifreleme sonrasında kişisel verileri, tarayıcı kimlik bilgilerini ve kripto para cüzdanlarını hedefleyen işlevleri ortaya çıkaran düzinelerce şifreleme tabakası ile dolu şüpheli bir Mali.py komut dosyasını tetikler.

Bu model, tehdit aktörlerinin kullanıcıları uyarmadan hassas bilgileri hasat etmek için hızlı, sessiz dağıtıma öncelik verdiği daha geniş eğilimlerle uyumludur.

Benzer şekilde, NPM paketi postcss-theme-vars-7.0.7, bu yaklaşımları, yanlış yönlendiren bir test örnekleri.dat dosyasında gizlenmiş gizlenmiş JavaScript aracılığıyla yansıtıyor.

Deobfuscation, tarayıcı profillerini (örneğin, krom ve cesur) çalmak için sofistike rutinler, kaydetmiş şifreler, otomatik doldurma verileri, uzatma konfigürasyonları ve hassas belgeler, anahtarlama, ekran görüntüsü yakalama ve kılıf izleme ile birlikte.

Veriler, Saldırgan kontrollü sunuculara soket bağlantıları yoluyla, Kuzey Kore APT gruplarıyla bağlantılı olanlar gibi önceki kampanyalardan kalıcılığı vurgulayarak açıklanır.

Bu örnekler, rakiplerin gelişen OSS manzaralarında etkinliği korumak için kod taklit etme ve davranışsal kaçırma gibi kanıtlanmış yöntemleri nasıl uyarladığını göstermektedir.

S2 2025 Bulgular, OSS tedarik zinciri tehditlerinin kalıcı doğasını doğrulamaktadır, saldırganlar genişleyen saldırı yüzeyinden yararlanmak için tutarsız bir şekilde pespiltrasyona ve gizlenmeye güvenmektedir.

Kuruluşlar, uyanık izleme, bağımlılık risklerinin farkındalığı ve gelişmiş tarama araçlarının entegrasyonu yoluyla savunmaları artırmaya çağırılır.

Fortinet’in bu paketler için antivirüs tespitleri ve ilişkili URL’leri engellemek için web filtrelemesi de dahil olmak üzere korumaları, sağlam korumalar sağlarken, Fortidevsec gibi hizmetler geliştirme boru hatlarında kötü niyetli bağımlılıkları önler.

Şüpheli ihlaller için, olay müdahale ekipleriyle iletişim kurmanın etkileri azaltması tavsiye edilir.

Uzlaşma Göstergeleri (IOCS)

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!