Tehdit aktörlerinin Typosquatting ve Startjacking tekniklerini kullanarak Alibaba bulut hizmetleri, AWS ve Telegram kullanan geliştiricileri kötü amaçlı Pypi paketlerini indirmeye ikna ettiği, Eylül 2023 boyunca aktif olan yeni bir tedarik zinciri saldırısı keşfedildi.
“adını taşıyan tehdit aktörlerikohlersbtuh15Checkmarx raporuna göre, hedeflenen kurbanlara tedarik zinciri saldırısı gerçekleştirmek amacıyla açık kaynak paket yöneticisi Pypi’ye bir dizi kötü amaçlı paket yükledi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Teknik Analiz
Typosquatting, bir tehdit aktörünün, yanlış yazılmış adla benzer bir paket yayınlayarak bir yükleme komutunu yanlış yazarak insan hatasını kullandığı tekniktir. Ayrıca bir geliştirici, paket adını yanlış yazarak bir kutu ararsa, kötü amaçlı paketin web sitesine ulaşır.
Starjacking, bir paket yöneticisinde barındırılan bir paketin GitHub’daki ilgisiz farklı bir paketin deposuna bağlandığı bir yöntemdir. Bu tekniklerin her ikisi de erişimi en üst düzeye çıkarmak için bir araya getirilir.
Tehdit aktörü, kurulum sırasında otomatik olarak çalıştırılan geleneksel komut dosyalarını kullanmak yerine, kötü amaçlı komut dosyalarını paketin derinliklerine, belirli işlevlere yerleştirdi. Bu teknik, kötü amaçlı komut dosyalarının, yürütülebilir komut dosyalarını tarayan güvenlik araçları tarafından algılanmasını önler.
Kötü amaçlı paketler
Tehdit aktörü popüler bir paketi taklit etti: “Teleton”adlı 69 milyondan fazla indirmeyleTelethon2”. Ancak Starjacking saldırısının bir parçası olarak bu paket, Resmi GitHub deposuyla bağlantılıdır.yardım kampanyası” paketi.
Bu pakette, “” içindeki iki kötü amaçlı kod satırı dışında, Resmi paketten kopyalanan kaynak kodun aynısı vardı.teleton/client/messages.py” dosyası. Bu kod yalnızca “mesaj gönder” işlevi çağrı paketinde çağrılır.
Bir başka sahte paket ise python paketi olmayan “enumerate-iam” idi. Tehdit aktörü, depoyla aynı adı taşıyan yeni bir kötü amaçlı Python paketi oluşturdu.
Bu pakette ayrıca yürütüldüğünde hassas kimlik bilgilerini çalmaya çalışan birkaç satırlık kötü amaçlı kod da vardı.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.