Tehdit aktörleri, kötü amaçlı kod yaymak için açık kaynaklı güvenlik açıklarından yararlanır


Fordiguard Labs, tedarik zinciri ekosistemleri içindeki kötü amaçlı yazılım yayma için açık kaynaklı yazılım (OSS) depolarının kullanımı konusunda sürekli bir eğilim bildirmiştir.

Geliştirme iş akışları giderek daha fazla üçüncü taraf paketlere bağlı olduğundan, rakipler NPM ve PYPI gibi platformlardaki kötü niyetli kodlar enjekte etmek, veri pessfiltrasyonunu kolaylaştırmak ve daha geniş hasar vermek için güvenlik açıklarından yararlanmaktadır.

Tescilli AI odaklı kötü amaçlı yazılım algılama ve gerçek zamanlı izlemeden yararlanan Fortiguard’ın sistemleri, ortaya çıkan tehditlerin proaktif olarak tanımlanmasını sağlar.

OSS tedarik zinciri saldırıları

Çeyrek 2025’ten gelen analiz, bu saldırı vektörlerinin metodolojide büyük ölçüde değişmeden kaldığını ve artan farkındalığa rağmen temel taktiklerin devam ettiğini göstermektedir.

Bu dönemde, 1,4 milyondan fazla NPM paketi ve 400.000 PYPI paketi tarandı ve bu da önemli miktarda kötü amaçlı artefakt ortaya çıkardı.

Anahtar davranışlar, düşük dosya sayımlarının yüksek insidansını, bağlantılı depoları yok, algılama izlerini en aza indirmek, kaçınma izlenebilirliğini yürütmek ve yüklemeleri yürütmek için tasarlanmış binden fazla teyit edilen vakadan istatistiksel bilgilerle kurulum veya yükleme komut dosyaları yoluyla veri açığa çıkmasını içerir.

Önceki çeyreklere kıyasla, şaşkınlık katmanlarında dikkate değer bir artış vardı, saldırganların statik ve dinamik analizi karmaşıklaştırma çabalarını vurguladı.

Derinlemesine sınav

Belirli örneklere giren birkaç PYPI paketi, basit-Mali-PKG-0.1.0, Configum-0.3.5, Sinontop-Utils-0.3.5, Solana-sdkpy-1.2.5 ve Solana-sdkpy-1.2.6 dahil olmak üzere bu taktikleri örneklendirir.

Bu eserler, komut dosyası yürütme, komut üzerine yazma, minimal dosya yapıları ve çok katmanlı şifreleme yükleme, kimlik bilgisi ve cüzdan hırsızlığı işlemlerini gizlemek için kullanır.

Açık kaynaklı güvenlik açıkları
Kişisel verilerin ve cüzdanların çaldığını gösteren mali.py şifresini çözdü

Örneğin, basit-mali-pkg-0.1.0 içindeki setup.py dosyası, şifreleme sonrasında kişisel verileri, tarayıcı kimlik bilgilerini ve kripto para cüzdanlarını hedefleyen işlevleri ortaya çıkaran düzinelerce şifreleme tabakası ile dolu şüpheli bir Mali.py komut dosyasını tetikler.

Bu model, tehdit aktörlerinin kullanıcıları uyarmadan hassas bilgileri hasat etmek için hızlı, sessiz dağıtıma öncelik verdiği daha geniş eğilimlerle uyumludur.

Benzer şekilde, NPM paketi postcss-theme-vars-7.0.7, bu yaklaşımları, yanlış yönlendiren bir test örnekleri.dat dosyasında gizlenmiş gizlenmiş JavaScript aracılığıyla yansıtıyor.

Deobfuscation, tarayıcı profillerini (örneğin, krom ve cesur) çalmak için sofistike rutinler, kaydetmiş şifreler, otomatik doldurma verileri, uzatma konfigürasyonları ve hassas belgeler, anahtarlama, ekran görüntüsü yakalama ve kılıf izleme ile birlikte.

Veriler, Saldırgan kontrollü sunuculara soket bağlantıları yoluyla, Kuzey Kore APT gruplarıyla bağlantılı olanlar gibi önceki kampanyalardan kalıcılığı vurgulayarak açıklanır.

Bu örnekler, rakiplerin gelişen OSS manzaralarında etkinliği korumak için kod taklit etme ve davranışsal kaçırma gibi kanıtlanmış yöntemleri nasıl uyarladığını göstermektedir.

S2 2025 Bulgular, OSS tedarik zinciri tehditlerinin kalıcı doğasını doğrulamaktadır, saldırganlar genişleyen saldırı yüzeyinden yararlanmak için tutarsız bir şekilde pespiltrasyona ve gizlenmeye güvenmektedir.

Kuruluşlar, uyanık izleme, bağımlılık risklerinin farkındalığı ve gelişmiş tarama araçlarının entegrasyonu yoluyla savunmaları artırmaya çağırılır.

Fortinet’in bu paketler için antivirüs tespitleri ve ilişkili URL’leri engellemek için web filtrelemesi de dahil olmak üzere korumaları, sağlam korumalar sağlarken, Fortidevsec gibi hizmetler geliştirme boru hatlarında kötü niyetli bağımlılıkları önler.

Şüpheli ihlaller için, olay müdahale ekipleriyle iletişim kurmanın etkileri azaltması tavsiye edilir.

Uzlaşma Göstergeleri (IOCS)

Paket adı Sha256 karma Tespit
Basit-Mali-PKG-0.1.0 A9114A446A136DF38C16F9E1BB1A83400CBA423D97DF121A54B67829BE7B9 Python/freecodingtool.10037449!
Configum-0.3.5 2E037BE549C01FEC14D9CAD59075708476E90456DEB53811F4301EB111C1104B Python/freecodingtool.10037449!
Sinontop-Utils-0.3.5 00892955b1a230253f4d7175cd30d89f961c1f45d56461e62ba0549b5906ae9 Python/freecodingtool.10037449!
Solana-sdkpy-1.2.5 D63099defcc1ee6dcbcbb6838e435347b661a9e399f5a028f735b5f6f3f86d7 Python/freecodingtool.10037449!
Solana-sdkpy-1.2.6 De23b735061993838c01f8086df95858495c6c8d73743a3c20dted3aece5b Python/freecodingtool.10037449!
Postcss-Theme-VARS-7.0.7 2D9D200B8E167FC95120E893DD3D7D02789A8BA41BA2632AF2E3342F3D1D22283 Js/stealer.a! Tr

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link