Popüler ödeme platformları Paysafe, Skrill ve Neteller'ı hedef alan yeni bir siber saldırı kampanyası, yazılım geliştiricilerini tehdit ediyor. Node Package Manager (npm) ve Python Package Index (PyPI) üzerinde yayınlanan 17 sahte paket, geliştiricilerin sistemlerine sızarak hassas kimlik bilgilerini çalıyor. Güvenlik araştırma firması Socket tarafından keşfedilen bu saldırı, yazılım tedarik zinciri güvenliğine yönelik ciddi bir tehdit oluşturuyor.
Saldırganlar, Paysafe, Skrill ve Neteller'ın resmi SDK'ları gibi görünen paketler oluşturmuş. npm'de 13, PyPi'de ise 4 paket yayınlanmış. npm paketleri 1.0.0 ile 1.0.3 arasında dört farklı sürüm yayınlarken, PyPi paketleri yalnızca 1.0.0 sürümüyle sınırlı kalmış. Tüm paketler, meşru SDK'ların API'lerini taklit ederek geliştiricileri yanıltıyor, ancak gerçek ödeme işlemlerini gerçekleştirmek yerine sahte başarı yanıtları döndürüyor.
Asıl tehlike, bu paketlerin kurbanın ortamına yerleştirdiği kötü amaçlı kodda gizli. Kod, Paysafe API anahtarları, AWS anahtarları, GitHub token'ları, npm token'ları, ana bilgisayar adı, kullanıcı adı ve API kullanım meta verileri gibi hassas bilgileri topluyor. Toplanan veriler, Amazon Web Services (AWS) üzerinde barındırılan bir komuta ve kontrol (C2) sunucusuna gönderiliyor. Socket'in analizine göre, npm paketleri yalnızca bir Paysafe API anahtarı mevcutsa ve sahte SDK çağrıldığında veri çalma işlemini başlatıyor. PyPI paketleri ise herhangi bir API anahtarı gerektirmeden, başlatma sırasında otomatik olarak veri çalma rutinini çalıştırıyor.
Sistem Güvenliği
Saldırganlar, bazı temel anti-analiz önlemleri de almış. Kötü amaçlı yazılım, yalnızca 2'den az CPU çekirdeği algılarsa veya ana bilgisayar adı veya kullanıcı adı sanallaştırma ipuçları içeriyorsa çalışmayı durduruyor. Bu, güvenlik araştırmacılarının analizini zorlaştırmayı amaçlıyor. Socket, saldırganların teknik olarak yetenekli olduğunu ve daha organize bir şekilde geri dönebileceklerini belirtiyor. Ayrıca, tehdit aktörünün farklı ekosistemler (npm ve PyPi) arasında geçiş yapabilmesi, savunmayı zorlaştırıyor; çünkü kuruluşlar genellikle yalnızca bir ekosistemi izliyor.
Uzmanların Görüşleri
Bu saldırı, özellikle e-ticaret siteleri, çevrimiçi pazaryerleri, oyun platformları, seyahat işletmeleri ve finansal hizmetler gibi Paysafe, Skrill ve Neteller kullanan sektörlerde çalışan geliştiricileri hedef alıyor. Skrill ve Neteller, çevrimiçi bahis, kripto para borsaları ve Forex ticaret platformlarında yaygın olarak kullanılan dijital cüzdanlar ve para transferi hizmetleri sunuyor. Bu nedenle, bu platformlarda çalışan yazılım geliştiricileri, saldırının birincil hedefi durumunda.
Geliştiricilerin, bu kampanyada listelenen paketlerden herhangi birini yükledilerse derhal harekete geçmeleri gerekiyor. Socket, bu paketleri içeren herhangi bir makinedeki tüm gizli bilgilerin (secret) derhal döndürülmesini (rotate) öneriyor. Ayrıca, bağımlılık ağaçlarında bu paket adlarının aranması ve kayıt defteri proxy seviyesinde bunlara yönelik isteklerin engellenmesi tavsiye ediliyor. Sürekli Entegrasyon (CI) sistemlerinin günlüklerinde PAYSAFE_API_KEY ile birlikte bu paket adlarının aranması da önemli bir adım olarak belirtiliyor.
Kaynak: bleepingcomputer.com