Bilgisayar korsanları, saldırılar için giderek daha fazla kendi kod paketlerini kullanıyor veya çevrimiçi depolar ve paket yöneticileri aracılığıyla dağıtılan kod paketlerine kötü amaçlı komut satırı ekliyor. Dolandırıcılık, bilgisayar korsanları arasında giderek daha popüler hale geliyor. Check Point'e göre 2021'den 2022'ye olan artış şimdiden yüzde 600'ün üzerindeydi.
Check Point Yazılım Teknolojileri'nin araştırma departmanı olan Check Point Research (CPR), tüm BT güvenlik güçlerini hileli kod paketleri konusunda uyarıyor. ThreatCloud birkaç kötü amaçlı nesne buldu. Bu dolandırıcılık, önemli ölçüde artan tedarik zinciri saldırıları ve değer zinciri saldırıları arasında sayılabilir.
Güvenilir kod paketleri virüslü
Siber suçlular, çeşitli yollarla girişimcilerin ve özel kişilerin sistemlerine sızmaya çalışır ve kod paketleri, bilgisayar korsanlarının yeni aracıdır. CPR'ye göre son birkaç yılda, suçlular bunları kendi amaçları için giderek daha fazla kötüye kullandılar: ya kötü amaçlı komut satırlarını çevrimiçi depolar ve paket yöneticileri aracılığıyla dağıtılan gerçek kod paketlerine sokmak ya da sadece meşru görünen kötü amaçlı kod paketlerini serbest bırakmak. Her şeyden önce, bu, bu tür havuzların gerçekten güvenilir üçüncü taraf sağlayıcılarının itibarını zedeler ve genellikle yaygın olan açık kaynaklı BT ekosistemleri üzerinde bir etkiye sahiptir. Özellikle Node.js (NPM) ve Python (PyPi) hedeflenmektedir.
Örnek 1: 8 Ağustos'ta, gerçek drgn paketinin adını kötüye kullanan Python-drgn virüslü kod paketi PyPi'ye yüklendi. Onu indirip kullananlar, arkalarındaki bilgisayar korsanlarının kullanıcıların özel bilgilerini toplayarak satmasına, onları taklit etmesine, kullanıcı hesaplarını ele geçirmesine ve kurbanların işverenleri hakkında bilgi toplamasına izin verir. Bunlar özel bir Slack kanalına gönderilir. Tehlikeli olan, yalnızca Python dilinde yalnızca kurulumlar için kullanılan ve Python paketlerini kullanıcı etkileşimi olmadan otomatik olarak getiren bir setup.py dosyası içermesidir. Diğer tüm olağan kaynak dosyalar eksik olduğundan bu tek başına dosyayı şüpheli hale getirir. Kötü amaçlı kısım bu nedenle bu kurulum dosyasında gizlenir.
Paket kodu, Windows Defender'ı devre dışı bırakır
Örnek 2: Bloxflip.py adını kötüye kullanan virüslü kod paketi bloxflip, PyPi'de de sunuldu. Bu, algılamayı önlemek için önce Windows Defender'ı devre dışı bırakır. Bundan sonra, Python'un Get işlevini kullanarak yürütülebilir bir dosya (.exe) indirir. Daha sonra bir alt süreç başlatılır ve dosya, sistemin ayrıcalıklı olduğu için hassas geliştirici ortamında yürütülür.
2022 yılı, güvenlik araştırmacılarının bu yönteme karşı yaptığı uyarının ne kadar önemli olduğunu gösteriyor: Kötü amaçlı kod paketlerinin sayısı 2021 yılına göre yüzde 633 arttı. Kendinizi korumak için Check Point şunları öneriyor: Her zaman üçüncü taraf programların ve paketlerin tüm kaynak kodlarının gerçekliğini kontrol edin. Önemli verileri hem aktarım sırasında hem de beklemedeyken her zaman şifreleyin. Kullanılan kod paketlerinin düzenli denetimlerini gerçekleştirin.
CheckPoint.com'da daha fazlası
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.