- ReversingLabs, VMConnect adlı kötü amaçlı bir PyPI paketi keşfetti.
- Paket, ortak Python araçlarını taklit etti ve şüpheli davranışlar gösterdi.
- Saldırı, kötü şöhretli paketlerin her gün ortaya çıkmasıyla 28 Temmuz’da başladı.
- PyPI ekibi paketleri hızla kaldırdı, ancak saldırganlar paketleri değiştirmeye devam etti.
- Saldırının hedefleri araştırmacılar için belirsizliğini koruyor.
Bir yazılım tedarik zinciri güvenliği ve kötü amaçlı yazılım analiz platformu olan ReversingLabs’teki tehdit araştırmacıları, Python Paket Dizini (PyPI) deposunda VMConnect adlı kötü amaçlı yeni bir PyPI paketi keşfettiler.
ReversingLabs’in tersine mühendisi Karlo Zanki, teknik bir blog gönderisinde PyPI açık kaynak deposunda yaklaşık 24 kötü amaçlı Python paketinin belirlendiğini yazdı. Bu paketler, pyVmomi VMware vSphere bağlamalarının sarma modülü vConnector, farklı veritabanları için asyncio desteğine izin veren veritabanları ve eth-tester adı verilen Ethereum tabanlı uygulamaları test etmek için kullanılan bir dizi araç dahil olmak üzere üç çok yaygın, açık kaynaklı Python aracını taklit etti.
Şirkete göre statik analiz motoru Titanium Platform, rutin tarama gerçekleştirirken şüpheli PyPI paketlerini belirledi. Daha fazla araştırma, ek kötü amaçlı yazılım indirmek için bir C2 sunucusuyla iletişim kuran paketler gibi şüpheli davranışları ortaya çıkardı. Ancak araştırmacılar, bu C2 sunucusu yayındayken herhangi bir komut gözlemlemedi.
Analizlerine göre, bu kampanya ilk kötü amaçlı paketin yayınlandığı 28 Temmuz 2023 tarihinde aktif hale geldi ve her biri bir öncekinden daha kötü şöhretli paketler günlük olarak görünmeye devam etti.
“Ayrıca, bu kötü amaçlı paketler, muhtemelen dahili sistem algılamaları veya harici raporlar nedeniyle PyPI’den derhal kaldırıldı. Ancak saldırganlar, iyi organize edilmiş ve devam eden bir harekatın göstergesi olarak paketleri hızla değiştirdiler.”
Karlo Zanki
Araştırmacılar, kampanya operatörlerinin kötü niyetli faaliyetlerini gerçekmiş gibi göstermek için büyük çaba harcadıklarını gözlemlediler. Bunu, otantik görünen açıklamalara sahip GitHub havuzları oluşturarak ve hatta meşru kaynak kodu kullanarak başarırlar. Ancak, potansiyel kurbanlarla güven oluşturmak için kötü niyetli davranışlarının tüm izlerini kasıtlı olarak bu depolardan kaldırırlar.
İlginç bir şekilde, bu kampanya kaynak kodunda tespit edilmekten kurtulmayı başardı. Varlığı, yalnızca araştırmacılar derleme süreci eserlerini taradığında keşfedildi. Bu, onu “Beyin Sülükleri” gibi yakın zamanda keşfedilen diğer tedarik zinciri kampanyalarından ayırır.
Şüpheli PyPI paketlerinin, taklit ettikleri modüllerin işlevlerini tam olarak taklit ederek aldatıcı davranış sergiledikleri bulunmuştur. Aldatmacaya ek olarak, bu paketler, kötü niyetli davranışlarının akıllıca kaldırıldığı GitHub projelerine bağlanır ve PyPI sürüm paketinde yanlış bir güven duygusu yaratır.
VMConnect de dahil olmak üzere tüm kötü amaçlı paketler ortaya çıktıktan sonra yalnızca üç gün içinde platformdan hızla kaldırıldığı için PyPI yöneticileri tarafından gerçekleştirilen hızlı eylem takdire şayandır. Ancak, araştırmacılar kötü amaçlı kod dağıtmak ve çeşitli tedarik zinciri saldırıları gerçekleştirmek için açık kaynak modüllerinden yararlanma yönünde artan bir eğilim fark ettiğinden, bu olay ciddi endişelere yol açıyor.
Geçmişte, tedarik zinciri saldırılarının çoğu NPM açık kaynak deposunu hedef alıyordu. Şaşırtıcı bir şekilde, PyPI deposu artık bu tür kötü niyetli faaliyetler için ana hedef haline geldi. Örneğin, Ocak 2023’te araştırmacılar, popüler HTTP kitaplıkları gibi görünen 41 şüpheli PyPI paketi tespit etti ve Mart ayında, üç aşamalı bir indiricinin birden çok sürümünü içeren “termcolour” (artık kullanılmayan bir paketten sonra) adlı bir PyPI paketi keşfedildi. Tersine Çevirme Laboratuvarları.
Yoğun araştırmalara rağmen, araştırmacılar bu kampanyanın hedeflerini veya sonraki aşamalarında ne olacağını belirleyemediler. Hassas verilerin çalınması, gözetleme yapılması, fidye yazılımının başlatılması veya bunların bir kombinasyonunun dahil olup olmadığı bu saldırıların arkasındaki amaç belirsizliğini koruyor.
İLGİLİ MAKALELER
- Kötü Amaçlı Paketler Kripto Adreslerinizi Değiştiriyor
- GitHub Kötü Amaçlı Paketleri Görüntü Dosyalarında PyPI Üzerinde Dağıtmak İçin Kötüye Kullanıldı
- Typosquatting: Kötü Amaçlı Aabquerys ile Kopyalanan Yasal Abquery Paketi