Soket tehdidi araştırma ekibi, tehdit aktörlerinin açık kaynak yazılım kütüphanelerini, infosterers, uzak kabuklar ve kripto para süzerleri gibi kötü niyetli yükler sunmak için açık kaynak yazılım kütüphanelerini silahlandırdığı bir artış ortaya çıkardı.
NPM, PYPI, Go Modülü, Maven Central ve Rubygems gibi ekosistemlere büyük ölçüde bağımlı olan ve kod tabanlarının% 70-90’ının üçüncü taraf paketlerden oluştuğu bu bağımlılıklara yapılan örtük güven, sömürü için temel bir hedef haline gelmiştir.
Popüler Express paketi için npmgraph.js.org gibi araçlarla örneklenen bağımlılık grafiklerinin karmaşıklığı, tek bir kütüphanenin her biri saldırganlar için potansiyel bir giriş noktası olan düzinelerce iç içe bağımlılık nasıl çekebileceğini göstermektedir.
.png
)
Hem meşru hem de kötü niyetli faaliyetleri hızlandıran geçişli bağımlılıkları ve AI araçlarını nadiren denetleyen geliştiriciler tarafından birleştirilen bu geniş ve değişen saldırı yüzeyi, rakiplerin endişe verici hassasiyetle yazılım tedarik zincirlerine sızmasını sağlamıştır.
Teknikler Hedef Geliştirici Ekosistemleri
Tehdit aktörleri, Socket’in araştırmalarında ayrıntılı olarak açıklandığı gibi, paket kayıtları üzerindeki etkilerini en üst düzeye çıkarmak için bir dizi sofistike teknik kullanırlar.
Örneğin, yazım hatası, genellikle aşırı güven AI kod asistanları tarafından güçlendirilen arama sonuçlarında ve geliştirici gözetiminde sözcüksel benzerlikten yararlanan “Metamask” taklit eden “Metamaks” gibi popüler kütüphanelerle neredeyse aynı adlara sahip paketlerin kaydedilmesini içerir.
Bir PYPI olayında, yazım hatası bir paket, Krom kimlik bilgilerini hasat etti ve Discord Webhooks aracılığıyla söndürülmüş veriler.
Benzer şekilde, depo ve önbellek kötüye kullanımı, GO modülü aynasında geri yüklenen bir Boltdb/cıvatanın üç yıllık kalıcılığı gibi, altyapının verimlilik için tasarımı kullanıcılara karşı nasıl döndürülebileceğini gösterir ve gizli komut ve kontrol (C2) sunucuları aracılığıyla uzaktan kod yürütülmesini sağlar.
Gizli olma teknikleri, statik analizden kaçmak için randomize değişken adları, sıkıştırılmış kod ve kodlanmış yükler kullanarak kötü niyetli davranışları daha da gizlerken, Kuzey Koreli bağlantılı Beaverail Loader gibi çok aşamalı kötü amaçlı yazılımlar, Invisibleferret sonrası post-installasyon gibi ileri arka kapıları getirerek zararlı eylemleri geciktirir.
Çok katmanlı saldırı vektörleri tespitten kaçınma
Ayrıca, otomasyon ve AI, saldırganların yeteneklerini süper şarj ederek yazım hatası paketlerini seri üretim yapmalarına, gizli kabuk komutlarıyla gizlemelerine ve bir hafta sonu 280 npm paket yayınlayan bir kampanyada görüldüğü gibi yüzlerce kötü amaçlı paket kullanmalarına izin verir.
AI’nın daha karanlık tarafı, tehdit aktörlerinin dil modelleri tarafından önerilen halüsinasyonlu paket adlarını kaydettiği “Slopsquatting” yoluyla da ortaya çıkarken, Google’ın AI’ya genel bakış gibi arama motorları, meşru ReadMe içeriğini yankılanarak kötü niyetli paketleri yanlışlıkla artırıyor.
Son olarak, Gmail aracılığıyla Solana anahtarlarını dışarı atmak veya sahte hata raporları için nöbetçi yeniden tasarlamak için nodaMailer kullanmak gibi güvenilir hizmetlerin kötüye kullanılması, gizli C2 kanalları için meşru araçların nasıl silahlandırıldığını ve kötü niyetli trafiği rutin ağ etkinliğine karıştırdığını vurgulamaktadır.
Rapora göre, Socket’in savunma önerileri geliştiricileri, benzeri adlar için kontrolleri otomatikleştirmeye, yükleme zamanı ağ davranışını, sanal alan çalışma zamanı eylemlerini izlemeye ve güvenilir alanlara giden bağlantıları incelemeye teşvik ediyor.
Açık kaynak ekosistemleri modern yazılımı desteklemeye devam ettikçe, bu gelişen tehditler, kalkınma boru hatlarının bütünlüğünü giderek kurnazlık tedarik zinciri saldırılarından korumak için acil uyanıklık ve sağlam güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!