Platformlardaki yazılım geliştiricilerinden çok çeşitli hassas veri çalan kötü niyetli NPM ve PYPI paketleri akışı bulunmuştur.
Kampanya 12 Eylül 2023'te başladı ve ilk olarak analistleri NPM'de 14 kötü niyetli paket ortaya çıkaran Sonatype tarafından keşfedildi.
Phylum, 16 ve 17 Eylül'deki kısa bir operasyonel aradan sonra saldırının devam ettiğini ve PYPI ekosistemine genişlediğini bildirdi.
Kampanyanın başlangıcından bu yana, saldırganlar NPM (40) ve PYPI (5) üzerine 45 paket yükledi ve koddaki varyantlar saldırıda hızlı bir evrim olduğunu gösteriyor.
Bu kampanyada dağıtılan kötü amaçlı paketlerin tam listesi Phylum raporunun alt bölümünde bulunabilir.
Bununla birlikte, aşağıdaki paketlerin, geliştiricileri yüklemeye kandırabilecek meşru popüler paketlere benzemek için yazım hatası kullandığını belirtmek gerekir:
Phylum'a göre, en az yedi farklı saldırı dalgası ve çeşitli aşamalar, gizliliği geliştirmek ve daha spesifik bir hedefleme eklemek için kod modifikasyonları içeriyordu.
İlk saldırı dalgaları 12 ve 15 Eylül arasında meydana geldi ve tehdit aktörleri günlük olarak yeni paket setleri yükledi ve toplam 33 pakete ulaştı.
Daha sonraki saldırı dalgaları 18 Eylül (üç paket), 20 Eylül (beş paket) ve 24 Eylül'de (4 paket) gerçekleşti.
İlk dalgalarda, paketler, veri toplama kodunu dahili olarak düz metin olarak içeren, bunları algılamaya duyarlı hale getiren sabit kodlu veri toplama ve eksfiltrasyon rutinlerine sahipti.
Orta yinelemeler, veri toplama bash betiğinin harici bir alandan alınması ve yürütülmesi gibi daha karmaşık mekanizmalar getirdi.
Ayrıca, yazarlar kurulum üzerine otomatik olarak kötü amaçlı JavaScript çalıştırmak için bir "ön testere" kancası eklediler.
En son paketler, daha sonra çift baz64 kodlamasına yükseltilen analizden kaçmak için Base64 kodlaması kullanıldı.
Genel olarak, saldırganlar sürekli bir kod testi ve iyileştirme sürecine katıldılar ve hatta veri toplamanın bazı yönlerinde diğerlerinden daha fazla uzmanlaşmış paketler sundu.
Paketler tarafından çalınan veriler hassas makine ve kullanıcı bilgilerini içerir.
Toplanan makine ve kullanıcı ayrıntıları arasında ana bilgisayar adı, kullanıcı adı, geçerli yol, işletim sistemi sürümü, harici ve dahili IP adresleri ve pypi paketleri için Python sürümü bulunur.
Bu ayrıntılar ve Kubeconfig dosyalarında ve ~/.ssh/id_rsa'da SSH özel anahtarlarında depolanan Kubernetes yapılandırmaları bir metin dosyasında (ConceptualTest.txt) yazılır ve saldırganların sunucularına gönderilir.
Çalınan bilgiler, geliştiricilerin gerçek kimliklerini ortaya çıkarmak ve saldırganlara çalınan SSH özel anahtarları aracılığıyla erişilebilen sistemlere, sunuculara veya altyapıya yetkisiz erişim sağlamak için kullanılabilir.
Çalınan Kubernetes yapılandırmaları kümelere erişmek için kimlik bilgileri içeriyorsa, saldırganlar dağıtımları değiştirebilir, kötü niyetli kapları ekleyebilir, kümede depolanan hassas verilere erişebilir, yanal olarak hareket edebilir veya fidye yazılımı saldırısı başlatabilir.
PYPI ve NPM gibi kod dağıtım platformlarının kullanıcılarının, bu ekosistemlerde sürekli bir kötü amaçlı yazılım akışı olduğu için sistemlerinde hangi paketleri indirdikleri ve başlattıkları konusunda dikkatli olmaları önerilir.
Info-Parting tarafından bombalanan Github depoları, bağımlı olarak maskelenmiş taahhütler
Pypi'de sahte vmware vconnector paketi
Sahte Bitwarden Siteleri Yeni Zenrat Şifre Çalma Kötü Yazılım
Python'da Python Bootcamp Paketi ile 74 $ ile hız kazanın
Ücretsiz İndir Yöneticisi, Linux kötü amaçlı yazılımları kontrol etmek için komut dosyasını serbest bırakır
Kaynak: Bleeping Computer