Dikkat edin: Bu PyPI Python Paketleri Kripto Cüzdanlarınızı Boşaltabilir

Yazılım tedarik zinciri saldırı kampanyası, ReversingLabs tarafından BIPClip olarak kodlandı. Paketler, PyPI'den kaldırılmadan önce toplu olarak 7.451 kez indirildi. Paketlerin listesi aşağıdaki gibidir -

Kripto para cüzdanları oluşturma ve güvence altına alma ile ilgili projeler üzerinde çalışan geliştiricileri hedefleyen BIPClip'in, hashdecrypt'in kayıt defterinde ilk yayınlandığı en az 4 Aralık 2022'den beri aktif olduğu söyleniyor.

Güvenlik araştırmacısı Karlo Zanki, paylaşılan bir raporda, "Bu, kripto varlıklarını hedef alan en son yazılım tedarik zinciri kampanyası" dedi. "Kripto para biriminin tedarik zinciri tehdit aktörleri için en popüler hedeflerden biri olmaya devam ettiğini doğruluyor."

Kampanyanın arkasındaki tehdit aktörlerinin tespit edilmekten kaçınmaya özen gösterdiğinin bir işareti olarak, söz konusu paketlerden biri olan mnemonic_to_address, kötü amaçlı bileşeni içeren bip39-mnemonic-decrypt'in bağımlılığı olarak listelenmesini engelleyen herhangi bir kötü amaçlı işlevsellikten yoksundu.

Zanki, "Paketin bağımlılıklarına bakmayı tercih etseler bile, içe aktarılan modülün adı ve çağrılan işlev, BIP39 standardının uygulamaları birçok kriptografik işlem içerdiğinden, meşru işlevleri taklit etmek ve şüphe uyandırmamak için dikkatlice seçilmiştir" dedi.

Paket, kendi adına, anımsatıcı ifadeleri çalmak ve bilgileri aktör tarafından kontrol edilen bir sunucuya sızdırmak için tasarlanmıştır.

ReversingLabs tarafından tanımlanan diğer iki paket – genel adres oluşturucu ve erc20-tarayıcı – benzer bir şekilde çalışır ve ilki, anımsatıcı ifadeleri aynı komut ve kontrol (C2) sunucusuna iletmek için bir cazibe görevi görür.

Öte yandan, hashdecrypts, bir çift olarak çalışmak üzere tasarlanmadığı ve verileri toplamak için kendi içinde neredeyse aynı kodu içerdiği için biraz farklı çalışır.

Yazılım tedarik zinciri güvenlik firmasına göre paket, hashdecrypts paketini kullanarak kripto cüzdanlarından anımsatıcı ifadeleri çıkarmanın bir yolu olarak tanıtılan hCrypto adlı bir depoya sahip "HashSnake" adlı bir GitHub profiline referanslar içeriyor.

Deponun commit geçmişinin daha yakından incelenmesi, Python betiklerinden birinin daha önce hashdecrypts yerine hashdecrypt ("s" olmadan) paketini 1 Mart 2024'e kadar içe aktardığı gerçeğine dayanarak kampanyanın bir yıldan fazla bir süredir devam ettiğini ortaya koyuyor.

HashSnake hesabının arkasındaki tehdit aktörlerinin, yazılımlarının reklamını yapmak için Telegram ve YouTube'da da bir varlığı olduğunu belirtmekte fayda var. Bu, 7 Eylül 2022'de xMultiChecker 2.0 adlı bir kripto günlüğü kontrol aracını sergileyen bir video yayınlamayı içerir.

Zanki, "Keşfedilen paketlerin her birinin içeriği, daha az şüpheli görünmelerini sağlamak için özenle hazırlandı" dedi.

"Kripto cüzdanlarını tehlikeye atmaya ve içerdikleri kripto para birimlerini çalmaya odaklandılar. Daha geniş bir gündemin ve hırsların olmaması, bu kampanyanın güvenliği ihlal edilmiş kuruluşlarda konuşlandırılan güvenlik ve izleme araçlarını tetikleme olasılığını azalttı."

Bulgular, GitHub gibi meşru hizmetlerin kötü amaçlı yazılımları dağıtmak için bir kanal olarak kullanılmasıyla daha da kötüleşen açık kaynaklı paket havuzlarında gizlenen güvenlik tehditlerinin altını bir kez daha çiziyor.

Ayrıca, terk edilmiş projeler, tehdit aktörlerinin geliştirici hesaplarının kontrolünü ele geçirmesi ve daha sonra büyük ölçekli tedarik zinciri saldırılarının önünü açabilecek truva atı haline getirilmiş sürümleri yayınlaması için çekici bir vektör haline geliyor.

"Terk edilmiş dijital varlıklar geçmişin kalıntıları değil; saatli bombalar yapıyorlar ve saldırganlar onlardan giderek daha fazla yararlanıyor ve onları açık kaynak ekosistemlerinde Truva atlarına dönüştürüyorlar" dedi.

"MavenGate ve CocoaPods vaka çalışmaları, terk edilmiş alan adlarının ve alt alan adlarının, kullanıcıları yanıltmak ve kötü niyeti yaymak için nasıl ele geçirilebileceğini vurguluyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği