Nova Sentinel Kötü Amaçlı Yazılımını Yaymak İçin Uyuyan PyPI Paketi Ele Geçirildi

Python Paket Dizini (PyPI) deposunda bulunan hareketsiz bir paket, Nova Sentinel adlı bir bilgi hırsızı kötü amaçlı yazılımını yaymak için yaklaşık iki yıl sonra güncellendi.

21 Şubat 2024'te kütüphanede anormal bir güncelleme tespit eden yazılım tedarik zinciri güvenlik firması Phylum'a göre, django-log-tracker adlı paket ilk olarak Nisan 2022'de PyPI'de yayınlandı.

Bağlantılı GitHub deposu 10 Nisan 2022'den beri güncellenmemiş olsa da, kötü amaçlı bir güncellemenin kullanıma sunulması, geliştiriciye ait PyPI hesabının güvenliğinin ihlal edildiğini gösteriyor.

Django-log-tracker bugüne kadar 3.866 kez indirildi, hileli sürüm (1.0.4) yayınlandığı tarihte 107 kez indirildi. Paket artık PyPI'den indirilemiyor.

Şirket, "Kötü amaçlı güncellemede, saldırgan paketi orijinal içeriğinin çoğundan çıkardı ve geride yalnızca bir __init__.py ve example.py dosyası bıraktı" dedi.

Basit ve açıklayıcı olan değişiklikler, uzak bir sunucudan "Updater_1.4.4_x64.exe" adlı bir yürütülebilir dosyanın getirilmesini içerir ("45.88.180[.] 54"), ardından Python os.startfile() işlevini kullanarak başlatın.

İkili, ilk olarak Kasım 2023'te Sekoia tarafından video oyunu indirmeleri sunan sahte sitelerde sahte Electron uygulamaları şeklinde dağıtıldığı belgelenen bir hırsız kötü amaçlı yazılım olan Nova Sentinel ile gömülü olarak geliyor.

"Bu özel dava hakkında ilginç olan şey [...] saldırı vektörünün, güvenliği ihlal edilmiş bir PyPI hesabı aracılığıyla bir tedarik zinciri saldırısı girişimi gibi görünmesidir" dedi.

"Bu gerçekten popüler bir paket olsaydı, bu paketin bir sürümü belirtilmeden veya bağımlılık dosyasında belirtilen esnek bir sürüm olmadan bağımlılık olarak listelendiği herhangi bir proje, bu paketin en son, kötü amaçlı sürümünü çekerdi."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.