Saldırganlar, geliştiricilerin sistemlerine, kripto para birimi bilgilerini çalmak, hassas verileri sızdırmak ve geliştiricilerin sistemlerinden kimlik bilgilerini toplamak için tasarlanmış bir Truva atı olan W4SP Stealer'ı bulaştırmak amacıyla sahte Python paketleri oluşturmaya ve temel gizleme tekniklerini kullanmaya devam ediyor.
Yazılım tedarik zinciri firması Phylum tarafından bu hafta yayınlanan bir tavsiye belgesine göre, bir tehdit aktörü Python Paket Dizini (PyPI) üzerinde popüler yazılım paketlerinin 29 klonunu oluşturarak bunlara kulağa hoş gelen adlar verdi veya kasıtlı olarak yasal paketlere benzer adlar verdi. yazım hatası olarak bilinen uygulama. Bir geliştirici kötü amaçlı paketleri indirip yüklerse, kurulum komut dosyası, bir dizi karmaşık adımla W4SP Stealer Truva Atı'nı da yükler. Araştırmacılar, paketlerin 5,700 indirmeye ulaştığını söyledi.
Phylum'un kurucu ortağı ve CTO'su Louis Lang, W4SP Stealer'ın kripto para cüzdanlarını ve finansal hesapları hedef almasına rağmen mevcut kampanyaların en önemli hedefinin geliştirici sırları gibi göründüğünü söylüyor.
"Bu, görmeye alışık olduğumuz e-posta kimlik avı kampanyalarından farklı değil; ancak bu kez saldırganlar yalnızca geliştiricileri hedef alıyor" diyor. "Geliştiricilerin genellikle kraliyet mücevherlerine erişime sahip olduğu göz önüne alındığında, başarılı bir saldırı bir kuruluş için yıkıcı olabilir."
Bilinmeyen bir aktör veya grup tarafından PyPI'ye yapılan saldırılar, yazılım tedarik zincirini hedef alan en son tehditlerden yalnızca biridir. PyPI ve Node Paket Yöneticisi (npm) gibi depo hizmetleri aracılığıyla dağıtılan açık kaynaklı yazılım bileşenleri, popüler bir saldırı vektörüdür. yazılıma aktarılan bağımlılıkların sayısı önemli ölçüde arttı. Saldırganlar, kötü amaçlı yazılımları dikkatsiz geliştiricilerin sistemlerine dağıtmak için ekosistemleri kullanmaya çalışır. Ruby Gems ekosistemine 2020 yılında bir saldırı ve saldırılar Docker Hub görüntü ekosistemi. Ve ağustos ayında Check Point Yazılım Teknolojileri'ndeki güvenlik araştırmacıları 10 PyPI paketi bulundu bilgi çalan kötü amaçlı yazılımları düşürdü.
Phylum araştırmacıları, bu son kampanyada "bu paketler, W4SP Stealer'ı Python geliştiricilerinin makinelerine sunmaya yönelik daha karmaşık bir girişimdir" dedi. analizlerinde belirttikleri, şunu ekliyor: "Bu, kararlı bir saldırganın sürekli değişen taktikleriyle devam eden bir saldırı olduğundan, yakın gelecekte bunun gibi daha fazla kötü amaçlı yazılımın ortaya çıkacağından şüpheleniyoruz."
PyPI Saldırısı Bir “Sayı Oyunudur”
Bu saldırı, ortak bir paketin adını yanlışlıkla yanlış yazan veya yazılımın kaynağını yeterince incelemeden yeni bir paket kullanan geliştiricilerden yararlanır. "Typesutil" adlı kötü amaçlı paket, popüler Python paketi "datetime2"nin birkaç değişiklikle yalnızca bir kopyasıdır.
Başlangıçta, kötü amaçlı yazılımı içe aktaran herhangi bir program, Python'un bağımlılıkları yüklediği kurulum aşamasında kötü amaçlı yazılımı indirmek için bir komut çalıştırır. Ancak PyPI belirli kontroller uyguladığı için saldırganlar şüpheli komutları çoğu kod düzenleyicinin normal görüntülenebilir aralığının dışına itmek için boşluk kullanmaya başladı.
Phylum, "Saldırgan taktiklerini biraz değiştirdi ve içe aktarmayı bariz bir noktaya boşaltmak yerine, Python'un nadiren kullandığı noktalı virgülden yararlanarak kötü amaçlı kodu diğer meşru kodlarla aynı satıra gizlice sokmak için ekranın dışına yerleştirdi" dedi. analizinde.
Phylum's Lang, yazım yanlışlığının yalnızca nadir başarılara sahip düşük kaliteli bir saldırı olmasına rağmen, potansiyel ödülle karşılaştırıldığında saldırganlara bu çabanın maliyetinin çok düşük olduğunu söylüyor.
"Bu, saldırganların paket ekosistemini bu kötü amaçlı paketlerle günlük olarak kirlettiği bir sayı oyunudur" diyor. "Talihsiz gerçek şu ki, bu kötü amaçlı paketlerden birini dağıtmanın maliyeti, potansiyel ödüle kıyasla son derece düşük."
Canımı sıkan bir W4SP
Saldırının nihai amacı, kurbanın sistemini numaralandıran, tarayıcıda saklanan şifreleri çalan, kripto para cüzdanlarını hedef alan ve 'banka' ve 'gizli' gibi anahtar sözcükler kullanarak ilginç dosyaları arayan bilgi çalan Trojan W4SP Stealer'ı kurmaktır. ,” diyor Lang.
"Kripto para birimini veya bankacılık bilgilerini çalmanın getirdiği bariz parasal ödüllerin yanı sıra, çalınan bilgilerin bir kısmı saldırgan tarafından kritik altyapıya veya ek geliştirici kimlik bilgilerine erişim sağlayarak saldırılarını ilerletmek için kullanılabilir" diyor.
Phylum, saldırganın tespitinde bir miktar ilerleme kaydetti ve altyapısı kullanılan şirketlere raporlar gönderdi.
