PYPI deposunda bulunan birden fazla kötü niyetli python paketi, AWS kimlik bilgileri gibi hassas bilgileri çalmak ve herkes tarafından erişilebilen halka açık uç noktalara iletir.
PYPI, yazılım geliştiricilerinin Python tabanlı projelerinin yapı taşlarını seçmek veya çalışmalarını toplulukla paylaşmak için kullandıkları açık kaynak paketlerinin bir deposudur.
PYPI genellikle platformdaki kötü amaçlı paketlerin raporlarına hızlı bir şekilde yanıt vermek için hızlı bir şekilde yanıt verse de, gönderilmeden önce gerçek bir veteriner yoktur, bu nedenle tehlikeli paketler bir süre orada gizlenebilir.
Sonatype gibi yazılım tedarik zinciri güvenlik şirketleri, bunları tespit etmek için özel otomatik kötü amaçlı yazılım algılama araçları kullanıyor ve bu durumda aşağıdaki paketleri kötü niyetli olarak tanımladılar:
İlk iki paket, Pypi'deki meşru ve popüler projeleri, dikkatsiz veya deneyimsiz kullanıcıları yüklemeye kandırmak için taklit etmeye çalışırken ve diğer üçünün görünür hedeflemesi, beş özellik kodu benzerlikleri veya bağlantıları yok.
Sonatype analistleri J. Cardona ve C. Fernandez, 'loglib-modüller' ve 'pygrata-utils' paketlerinin veri açığa çıkması, AWS kimlik bilgilerini kapmak için, ağ arayüzü bilgilerini ve ortam değişkenlerini oluşturduğunu düşündüler.
İlginç bir şekilde, 'pygrata' veri çalma işlevlerini kendi başına içermez, ancak bağımlılık olarak 'pygrata-utils' gerektirir.
Bu nedenle, kötü niyetli paketlerden dördü hemen Pypi'den bildirilmiş ve çıkarılmış olsa da, 'Pygrata' kendi başına çok fazla şey yapamamasına rağmen orada daha uzun süre kaldı.
Çalınan veriler TXT dosyalarında saklanır ve bir pygrata [.] Com alanına yüklenir. Bununla birlikte, son nokta düzgün bir şekilde güvence altına alınmaz, böylece analistler tehdit aktörlerinin çaldıklarına bakabilirler.
Etik olarak hareket eden ve bir şeyleri eksik olabilecekleri varsayımı üzerine, iki analist, kamuya maruz kalma ve açıklamalar talep etmek için onları bilgilendirmek için etki alanı sahipleriyle temasa geçti.
Kısa bir süre sonra, son nokta, sonatpe olmadan bir cevap almadan halka açık erişimden korundu. Bu muhtemelen bu paketlerin amacının ve veri barındırma etki alanının meşru olmadığı anlamına gelir.
Bu paketler meşru güvenlik testi için kullanılmış olsa bile ve arkasındaki operatörler asla çalınan ayrıntıları kullanmayı amaçlamamış olsa bile, PYPI üzerindeki varlıkları, kimlik bilgileri nihayetinde ortaya çıktığı için "istemsiz katılımcıları" önemli bir riske maruz bırakmış olabilir.
Bu kötü niyetli paketler yazım hatası hileleri kullanmadığından, bir karakteri yanlış yazan ancak projeleri için belirli araçlar arayan kullanıcıları rastgele hedeflemiyorlar.
Yazılım geliştiricilerinin paket adlarının ötesine geçmeleri ve yayın geçmişlerini incelemeleri, tarihleri, ana sayfa bağlantılarını, paket açıklamalarını ve indirme numaralarını incelemeleri tavsiye edilir, hepsi de bir Python paketinin gerçek bir anlaşma mı yoksa tehlikeli bir sahte olup olmadığını belirlemeye yardımcı olur.
Travis CI günlüklerinde maruz kalan binlerce GitHub, AWS, Docker belirteçleri
Pypi Paketi 'Keep' yanlışlıkla bir şifre çalma dahil
Hacker, kütüphaneleri kaçırma, AWS anahtarlarını çalmak etik araştırmalar olduğunu söylüyor
Popüler Python ve PHP kütüphaneleri AWS anahtarlarını çalmak için kaçırıldı
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Kaynak: Bleeping Computer