Saldırganlar Artık Yazım Hatası Avını Bıraktı: Gerçekçi Paket Kimlik Avına Geçtiler Windows

Saldırganlar Artık Yazım Hatası Avını Bıraktı: Gerçekçi Paket Kimlik Avına Geçtiler

Siber saldırganlar, popüler yazılım paketlerinin yazım hatalarını kullanmaktan vazgeçerek, geliştiricilerin iş akışına uyum sağlayan gerçekçi taklit p

Siber güvenlik firması Sonatype tarafından yapılan yeni bir analiz, kötü niyetli açık kaynak paketlerinin büyük çoğunluğunun artık klasik yazım hatası avı (typosquatting) yöntemini terk ettiğini ortaya koydu. 4.309 kötü amaçlı paketin incelendiği araştırmada, paketlerin %91'inin, geliştiricilerin iş akışına doğal olarak uyum sağlayan eklentiler, yapılandırma dosyaları ve yardımcı araçlar gibi görünen isimlendirme varyasyonları kullandığı tespit edildi. Geleneksel savunma mekanizmalarının yakalamak üzere tasarlandığı yazım hatalarına dayanan paketlerin oranı ise sadece %9'da kaldı.

Bu değişimin önemi, bu paketlerin zararsız benzerler olmamasından kaynaklanıyor. Analiz edilen kötü amaçlı paketlerde en sık görülen davranışlar, ana bilgisayar ve sırların (secrets) sızdırılması olurken, bunu dropper ve backdoor (arka kapı) yazılımları takip etti. Bu durum, rutin bir yazılım kurulumunu, kimlik bilgilerinin çalınması ve ardından sistemin ele geçirilmesi için bir yola dönüştürüyor. Saldırganlar, güvenilen bir ismi harf harf kopyalamak yerine, meşru bir projeye bitişik görünen isimler oluşturuyor.

Sonatype, bu isimlendirme taktiklerini detaylandırarak, sonek eklemenin %43,6 ile en yaygın yöntem olduğunu kaydetti. Bunu sırasıyla önek ekleme, hedef projenin adını gömme, bağımlılık karışıklığı (dependency confusion) desenleri ve sürüm taklidi (version mimicry) takip etti. Saldırganlar artık sadece 'requesrs' gibi yaygın bir yazım hatasına güvenmek yerine, 'python-logging-helper' veya 'django-cache-utils' gibi meşru görünen ve geliştiricilerin kolayca güvenebileceği isimler kullanıyor.

Bu durum, yazılım tedarik zinciri güvenliği açısından önemli bir uyarı niteliği taşıyor. Geliştiricilerin, indirdikleri paketlerin kaynağını ve bütünlüğünü doğrulaması, yalnızca resmi depolardan ve güvenilir yayıncılardan paket alması, ayrıca paket bağımlılıklarını düzenli olarak denetlemesi kritik hale geliyor. Güvenlik ekiplerinin de yalnızca yazım hatası tespitine dayalı savunmaların ötesine geçerek, davranışsal analiz ve anomali tespiti gibi daha gelişmiş yöntemleri kullanması gerekiyor.

Paylaş: