Popüler ödeme platformları Paysafe, Skrill ve Neteller'ın geliştirici SDK'ları, NPM ve PyPI paket yöneticilerinde sahte sürümlerle hedef alındı. Güvenlik araştırma firması Socket'in raporuna göre, tehdit aktörü aynı anda 17 kötü amaçlı paket yayınlayarak bu paketleri indiren geliştiricilerin sistemlerindeki kimlik bilgilerini ve erişim tokenlarını çalmayı başardı. Çalınan veriler, AWS'de barındırılan bir komuta-kontrol sunucusuna gönderildi.
Paysafe, özellikle e-ticaret siteleri, online pazaryerleri, oyun platformları, seyahat işletmeleri ve finansal hizmetler/SaaS sağlayıcıları tarafından yaygın olarak kullanılıyor. Skrill ve Neteller ise online bahis, kripto para borsaları ve Forex ticaret platformlarında dijital cüzdan ve para transferi hizmeti olarak tercih ediliyor. Bu platformların geliştiricileri, uygulamalara güvenli ödeme ve fon yönetimi entegre etmek için Paysafe'nin resmi SDK'larını kullanıyor.
Socket'in tespit ettiği kötü amaçlı paketler şunları içeriyor: npm/paysafe-checkout, npm/paysafe-vault, npm/neteller, npm/skrill-payments, npm/paysafe-js, npm/paysafe-api, npm/paysafe-node, npm/paysafe-cards, npm/paysafe-fraud, npm/paysafe-kyc, npm/skrill, npm/skrill-sdk, npm/paysafe-payments, pypi/paysafe-kyc, pypi/paysafe-payments, pypi/paysafe-sdk ve pypi/paysafe-api. NPM paketlerinde 1.0.0 ile 1.0.3 arasında dört kötü amaçlı sürüm yayınlanırken, PyPI paketlerinde yalnızca 1.0.0 sürümü bulunuyor.
Bu sahte paketler, meşru Paysafe SDK'ları gibi görünüyor ve beklenen API'leri sunuyor. Ancak, gerçek Paysafe arka uç hizmetlerine bağlanmak yerine sahte başarı yanıtları döndürüyorlar. Asıl amaç, gömülü kötü amaçlı kod aracılığıyla ortamda bulunan tokenlar, parolalar ve API anahtarları gibi gizli bilgileri çalmak. Socket'e göre, çalınan veriler arasında Paysafe API anahtarları, AWS anahtarları, GitHub tokenları, npm tokenları, ana bilgisayar adı, kullanıcı adı ve API kullanımına ilişkin meta veriler yer alıyor.
NPM paketlerindeki veri hırsızlığı modülü, yalnızca bir Paysafe API anahtarı mevcutsa ve sahte SDK çağrıldığında etkinleşiyor. PyPI paketleri ise başlatma sırasında otomatik olarak veri hırsızlığı rutinini çalıştırıyor ve bir Paysafe API anahtarı gerektirmiyor. Kötü amaçlı yazılım, 2'den az CPU çekirdeği algılarsa veya ana bilgisayar adı/kullanıcı adı sanallaştırma ortamını işaret ediyorsa çalışmayı durdurarak basit anti-analiz önlemleri içeriyor.
Nasıl Önlem Alınmalı?
Bu kampanyanın arkasındaki tehdit aktörünün kimliği henüz bilinmiyor, ancak Socket, saldırganın teknik olarak yeterli olduğunu ve daha organize bir şekilde geri dönebileceğini belirtiyor. Araştırmacılar, geliştiricilerin bu paketlerden herhangi birini yüklediyse, ilgili makinedeki tüm gizli bilgileri derhal değiştirmelerini öneriyor. Ayrıca, bağımlılık ağaçlarında bu paket adlarını aramak ve kayıt defteri proxy seviyesinde bu paketlere yönelik istekleri engellemek de önemli.
Kaynak: bleepingcomputer.com