Siber Muhbir

Checkmarx, yeni bir raporda, popüler meşru Python kütüphaneleri gibi görünen 27 paketin binlerce indirme çektiğini söyledi. İndirmelerin çoğu ABD, Çin, Fransa, Hong Kong, Almanya, Rusya, İrlanda, Singapur, İngiltere ve Japonya'dan geldi.

Yazılım tedarik zinciri güvenlik firması, "Bu saldırının tanımlayıcı bir özelliği, masum görünen bir görüntü dosyası içinde kötü niyetli bir yükü gizlemek için steganografinin kullanılmasıydı ve bu da saldırının gizliliğini artırdı" dedi.

Paketlerden bazıları, sonuncusu 13 Mayıs 2023'te ekilen pyefflorer, pyminor, pyowler, pystallerer, pystob ve pywool'dur.

Bu paketlerin ortak paydası, ana bilgisayarda kalıcılık elde etmek için "Runtime.exe" adlı bir dosyayı indirmek ve yürütmek için Visual Basic Komut Dosyası (VBScript) dağıtan diğer kötü amaçlı paketlere (örneğin, pystob ve pywool) başvuruları eklemek için setup.py komut dosyasının kullanılmasıdır.

İkili dosyanın içine gömülü, web tarayıcılarından, kripto para cüzdanlarından ve diğer uygulamalardan bilgi toplayabilen derlenmiş bir dosyadır.

Checkmarx tarafından gözlemlenen alternatif bir saldırı zincirinin, yürütülebilir kodu bir PNG görüntüsünde ("uwu.png") gizlediği söylenir, bu kod daha sonra kodu çözülür ve etkilenen sistemin genel IP adresini ve evrensel benzersiz tanımlayıcısını (UUID) çıkarmak için çalıştırılır.

Özellikle Pystob ve Pywool, API yönetimi araçları kisvesi altında, yalnızca verileri bir Discord web kancasına sızdırmak ve VBS dosyasını Windows başlangıç klasörüne yerleştirerek kalıcılığı sürdürmeye çalışmak için yayınlandı.

Checkmarx, "Bu kampanya, günümüzün dijital ortamında, özellikle işbirliği ve açık kod alışverişinin temel olduğu alanlarda, her zaman var olan tehditlerin bir başka keskin hatırlatıcısı olarak hizmet ediyor" dedi.

Gelişme, ReversingLabs'ın "Ukrayna, İsrail ve Gazze Şeridi'ndeki çatışmalarla ilgili barış mesajları yayınlayan senaryoları gizleyen" yeni bir protesto yazılımı npm paketi dalgasını ortaya çıkarmasıyla geldi.

@snyk/sweater-comb (sürüm 2.1.1) adlı paketlerden biri, ana bilgisayarın coğrafi konumunu belirler ve Rusya olduğu tespit edilirse, "es5-ext" adlı başka bir modül aracılığıyla Ukrayna'nın "haksız işgalini" eleştiren bir mesaj görüntüler.

Başka bir paket olan e2eakarev, package.json dosyasında "özgür Filistin protesto paketi" açıklamasına sahip ve IP adresinin İsrail'e çözümlenip çözümlenmediğini görmek için benzer kontroller yapıyor ve eğer öyleyse, geliştiricileri Filistin mücadelesi hakkında farkındalık yaratmaya çağıran "zararsız bir protesto mesajı" olarak tanımlanan şeyi günlüğe kaydediyor.

Açık kaynak ekosistemlerine sızan sadece tehdit aktörleri değil. Bu haftanın başlarında GitGuardian, 2.922 PyPI projesinde toplam 3.938 benzersiz sırrın varlığını ortaya çıkardı ve bunların 768'inin geçerli olduğu tespit edildi.

Buna AWS anahtarları, Azure Active Directory API anahtarları, GitHub OAuth uygulama anahtarları, Dropbox anahtarları, SSH anahtarları ve MongoDB, MySQL, PostgreSQL, Coinbase ve Twilio ile ilişkili kimlik bilgileri dahildir.

Dahası, bu sırların çoğu birden fazla kez sızdırıldı ve birden fazla sürüm sürümünü kapsayarak toplam olay sayısını 56.866'ya çıkardı.

GitGuardian'dan Tom Forbes, "Açık kaynaklı paketlerdeki sırları ifşa etmek, hem geliştiriciler hem de kullanıcılar için önemli riskler taşıyor" dedi. "Saldırganlar, yetkisiz erişim elde etmek, paket bakımcılarının kimliğine bürünmek veya sosyal mühendislik taktikleriyle kullanıcıları manipüle etmek için bu bilgilerden yararlanabilir."

Yazılım tedarik zincirini hedef alan sürekli saldırı dalgası, ABD hükümetinin bu ay yazılım geliştiricilerin ve tedarikçilerin yazılım güvenliği konusunda farkındalık sağlamaları ve sürdürmeleri için yeni bir kılavuz yayınlamasına neden oldu.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Ulusal İstihbarat Direktörü Ofisi (ODNI), "Son zamanlardaki yüksek profilli yazılım tedarik zinciri olayları göz önüne alındığında, satın alma kuruluşlarının satın alma kararlarına tedarik zinciri risk değerlendirmeleri atamaları önerilir" dedi.

"Yazılım geliştiriciler ve tedarikçiler, yazılım geliştirme süreçlerini iyileştirmeli ve sadece çalışanlara ve hissedarlara değil, aynı zamanda kullanıcılarına da zarar verme riskini azaltmalıdır."