Tehdit analistleri, geliştirici sistemlerine parola çalan kötü amaçlı yazılım bulaştırmak için kullanılan PyPI deposunda on adet kötü amaçlı Python paketi keşfetti.
Sahte paketler, popüler yazılım projelerini taklit etmek ve PyPI kullanıcılarını onları indirmeleri için kandırmak için yazım hatası kullandı.
PyPI (Python Paket Dizini), milyonlarca kayıtlı kullanıcının Python projelerine kolayca dahil edebileceği ve minimum çabayla karmaşık ürünler oluşturabileceği 350.000’den fazla açık kaynaklı yazılım paketinin bulunduğu bir havuzdur.
Kötü amaçlı yazılım operatörleri, platformun açık yapısından yararlanır ve sık sık yükle geliştiricilerin sistemlerini tehlikeye atmak için kötü amaçlı veya sahte paketler.
Oradan, tehdit aktörleri geliştiricileri ve varlıklarını tedarik zinciri saldırıları için hedefler, tescilli kaynak kodunu çalar veya yazılım geliştirme ortamında potansiyel dönüm noktaları arar.
Kimlik bilgilerini çalmak için kullanılan on Pypi paketi
CheckPoint tarafından keşfedilen ve özetlenen kötü amaçlı PyPi paketleri yeni rapor şunlardır:
- Ascii2text – Python için popüler bir ASCII Sanat Kitaplığı olan “sanatı” taklit eden Ascii2text, sürüm ayrıntılarını çıkararak aynı açıklamayı kullanır. Kodu, yerel parolaları arayan ve bunları bir Discord web kancası aracılığıyla sızdıran kötü amaçlı bir komut dosyası alır.
- Pyg-utils, Pymocks, PyProto2 – Her üç paket de AWS kimlik bilgilerini hedefler ve başka bir paket grubuna çok benzer görünür Haziran ayında Sonatype tarafından keşfedildi. Hatta ilki aynı etki alanına (“pygrata.com”) bağlanırken, diğer ikisi “pymocks.com”u hedefler.
- Test-zaman uyumsuz – Uzak bir kaynaktan kötü amaçlı kod getiren ve bir Discord kanalına yeni bir bulaşma olduğunu bildiren belirsiz bir açıklama içeren paket.
- Ücretsiz-net-vpn ve Ücretsiz-net-vpn2 – Dinamik bir DNS eşleme hizmeti tarafından eşlenen bir siteye yayınlanan kullanıcı kimlik bilgisi toplayıcı.
- Zlibsrc – zlib projesini taklit eden bu paket, harici bir kaynaktan kötü amaçlı bir dosya indiren ve çalıştıran bir komut dosyası içerir.
- Tarayıcıdiv – Web tasarım programcılarının kimlik bilgilerini hedefleyen paket. Veri hırsızlığı için Discord web kancalarını kullanır.
- WINRPCexploit – Windows RPC güvenlik açığından yararlanmayı otomatikleştirmeyi vaat eden bir kimlik bilgisi çalma paketi. Ancak paket yürütüldüğünde, sunucunun genellikle kimlik bilgilerini içeren ortam değişkenlerini saldırganın kontrolü altındaki uzak bir siteye yükleyecektir.
Keşfedilen paketler CheckPoint tarafından bildirilmiş ve PyPI’den kaldırılmış olsa da, bunları sistemlerine indiren yazılım geliştiricileri hala risk altında olabilir.
Yukarıdaki paketlerden herhangi birini indirdiyseniz ve kullandıysanız, kendinizi tehlikeye atmış olduğunuzu düşünün ve uygun işlemi yapın.
Çoğu durumda, kötü niyetli paketler olası tedarik zinciri saldırıları için zemin hazırlamıştır, bu nedenle geliştiricinin bilgisayarı yaygın bir enfeksiyonun yalnızca ilk noktası olabilir ve kodun kötü amaçlı kod için denetlenmesi gerekir.
PyPI’deki hiçbir paketin güvenlik garantisiyle gelmediğini ve adların, sürüm geçmişlerinin, gönderim ayrıntılarının, ana sayfa bağlantılarının ve indirme numaralarının incelenmesinden kullanıcıların sorumlu olduğunu hatırlamak önemlidir.
Tüm bu öğeler topluca bir Python paketinin güvenilir mi yoksa potansiyel olarak kötü amaçlı mı olduğunu belirlemeye yardımcı olabilir.