Soket tehdidi araştırma ekibi, ikisi Python Paket Dizini’nde (PYPI) barındırılan ve NPM kayıt defterinde, anımsatıcı tohumlar ve özel anahtarlar da dahil olmak üzere sessizce kripto para birimi sırları için tasarlanan üçlü kötü amaçlı paket çıkardı.
2021 ve 2024 yılları arasında piyasaya sürülen bu paketler, zararsız geliştirici araçları kisvesi altında, açık kaynaklı ekosistemleri hedefleyen yazılım tedarik zinciri saldırılarında büyüyen bir eğilim sergileyen binlerce kez indirildi.
Açık kaynakta ince yıkım
NPM Paketi React-ScrollPageViewTest, sayfa kaydırma yardımcısı olarak görünen 1215 kez indirildi.
.png
)
Modus operandi, şaşkınlık ve kaçırma tekniklerinin karmaşık bir kombinasyonunu içerir.
Kurulduktan sonra, ana bilgisayar reaksiyonlu yerel cüzdan motorunu dinamik olarak yükler, daha sonra Base64’te kodlanır ve Google Analytics’i veri iletimi için görünüşte zararsız bir uç nokta olarak kullanılarak kontrol sunucusuna gizli bir şekilde ekstrüksiyona sahiptir.
Bu yöntem sadece algılamadan kaçınmakla kalmaz, aynı zamanda Google’ın analiz hizmetlerine verilen güveni de kullanır.
PYPI’da, Web3x ve herden Walletbot benzer taktikleri temsil eder, ancak nüanslı dağıtım mekanizmalarıyla.
Ethereum bakiye denetleyicisi olarak görünen Web3x, 3400’den fazla indirme kazandı.
Kullanıcıları cüzdan bakiyelerini kontrol etmeyi teklif ederek tohum cümlelerini sağlamaya kandırır ve daha sonra çalınan kimlik bilgilerini saldırganlar tarafından kontrol edilen bir telgraf botuna gönderir.
Herewalletbot, 3425 indirme ile, kullanıcıları bir telgraf sohbet arayüzü aracılığıyla kullanıcılara rehberlik ederek, daha sonra bilgisi olmadan hasat edilen anımsatıcı tohum ifadelerine girmeleri istenir.
Geliştiricilerle aldatıcı dans
Rapora göre, bu paketler mevcut siber tehditlerin sofistike ve kurnaz doğasını göstermektedir.
Kendilerini geliştirme araçlarına ve iş akışlarına yerleştirerek, kendilerini en hassas bilgileri engellemek için konumlandırırlar ve geliştiricilerin açık kaynaklı paketlerde yer aldığı güven geliştiricilerinden yararlanırlar.
Bu ihlal sadece bireysel geliştiricileri tehlikeye atmakla kalmaz, aynı zamanda yazılım geliştirme için bu ekosistemlere dayanan kuruluşlar için sistemik riskler oluşturmaktadır.
Bu paketlerin NPM ve PYPI üzerinde devam eden varlığı, yakın zamana kadar yazılım tedarik zinciri içindeki gelişmiş güvenlik protokollerine yönelik kritik bir ihtiyacı vurgulamaktadır.
Geliştiriciler ve kuruluşlar, bu tür tehditlere karşı korunmak için kaynak kodu incelemesi, çalışma zamanı davranışı izleme ve bağımlılık analizi gibi proaktif güvenlik önlemlerini benimsemelidir.
Bu keşif, yazılım bileşeni kullanımında uyanıklığın kritik öneminin kesin bir hatırlatıcısı olarak hizmet vermektedir.
Geliştiriciler, herhangi bir koşulda anımsatıcı tohum ifadelerini ve özel anahtarlarını asla paylaşmaları istenir, çünkü bunlar dijital varlıklarının anahtarlarıdır.
Bu tür bilgileri talep eden herhangi bir paket derhal şüpheli ve raporlanmalıdır.
Uzlaşma Göstergeleri (IOCS)
| Kötü niyetli paket | Takma ad | İndirme | E -posta/bitiş noktası |
|---|---|---|---|
| React-anal-ScollPageViewTest | twoplus | 1.215 | Twoplusten@163[.]com |
| Web3x | Timymevbots | 3.405 | xeallmail@mitico[.]org |
| Here Walletbot | Vanns | 3.425 | Bevansatria@gmail[.]com, @Herewalletbot, hxxps: // web[.]telgraf[.]org/K/#@Herewalletbot |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!