Açık kaynaklı yazılım ekosistemi, bir zamanlar işbirlikçi gelişimin kalesi olarak kabul edildi, tedarik zincirlerine sızmak ve aşağı akış sistemlerini tehlikeye atmak isteyen siber suçlular için giderek daha çekici bir hedef haline geldi.
2025’in ikinci çeyreğinde yapılan son analizler, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak, duyarlı verileri yaymak ve kurban ortamlarında kalıcı dayanaklar oluşturmak için popüler paket depolarındaki güvenlik açıklarını sürekli olarak kullandıklarını ortaya koymaktadır.
Bu endişe verici eğilim, kötü niyetli aktörlerin doğal güven geliştiricilerinin geleneksel güvenlik kontrollerini atlamak için üçüncü taraf paketlerinde yer aldığı saldırı metodolojisinde temel bir değişimi temsil eder.
Bu tehdit manzarasının kapsamı geniş ve büyüyor. Q2 2025 sırasında, otomatik tehdit algılama platformları 1.4 milyon NPM’nin üzerinde (Düğüm Paket Yöneticisi) ve 400.000 PYPI (Python Paket Dizin) paketlerini taradı ve bu depolara gömülü önemli sayıda kötü amaçlı paket ortaya çıkardı.
Bu tehdit aktörleri tarafından kullanılan saldırı vektörleri, geliştiriciler projelerine yeni bağımlılıkları entegre ettiklerinde ortaya çıkan otomatik kurulum süreçlerinden yararlanarak yazılım geliştirme iş akışlarının sofistike bir anlayışını göstermektedir.
.webp)
Fortinet analistleri, bu dönemde Basit-Mali-PKG-0.1.0.0, Sinontop-Utils-0.3.5, Solana-Sdkpy-1.2.5 ve Solana-SDKPY-1.2.6 dahil olmak üzere birkaç kötü niyetli PYPI paketi belirledi.
.webp)
Bu paketler, tehdit aktörleri tarafından kullanılan gelişen taktiklerin temsili örnekleri olarak işlev görür ve geleneksel kötü amaçlı yazılım tekniklerini etkilerini en üst düzeye çıkarmak ve tespitten kaçınmak için tedarik zinciri sömürü yöntemleriyle birleştirir.
.webp)
Kod gizleme ve yürütme mekanizmaları
Bu kötü niyetli paketlerin teknik sofistike, hem otomatik tarama araçlarından hem de insan analistlerinden kötü niyetli niyetleri gizlemek için tasarlanmış çok katmanlı gizleme tekniklerini kullanmalarında özellikle dikkat çekicidir.
Basit-Mali-PKG-0.1.0 Paketi, bu yaklaşımı, aşağıdaki mekanizmayı kullanarak yükleme sırasında şüpheli bir Mali.py dosyasını yürüten setup.py dosyası aracılığıyla gösterir:-
mali_path = os.path.join(os.path.dirname(os.path.abspath(__file__)), "mali.py")
subprocess.call([sys.executable, mali_path], shell=True)Bu Mali.py dosyası, baz 64 kodlu verileri açan gizlenmiş lambda fonksiyonlarıyla başlayarak düzinelerce şifreleme katmanı kullanan yoğun şifreli kod içerir.
Benzer şekilde, Postcss-theme-VARS-7.0.7 NPM paketi, JavaScript gizleme tekniklerini kullanır ve tespiti önlemek için aldatıcı olarak adlandırılan bir dosyada kötü niyetli işlevselliği saklar.
Başarılı bir şekilde bozulma üzerine, bu paketler, yakalanan verileri saldırgan kontrollü sunuculara iletmek için anahtarlama ve ekran görüntüsü yakalama işlevlerini uygularken, tarayıcı kimlik bilgilerini, kripto para cüzdanlarını ve hassas belgeleri hedefleyen kapsamlı veri açığa vurma özelliklerini ortaya çıkarır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin