Yeni bir araştırmaya göre, kötü niyetli açık kaynak paketlerinin büyük çoğunluğu artık popüler projelerin adlarını yanlış yazarak değil, geliştiricilerin kullandığı gerçek eklentileri, yapılandırma dosyalarını ve yardımcı araçları taklit ederek yayılıyor. Sonatype tarafından yapılan analiz, incelenen 4.309 kötü amaçlı paketin %91'inin klasik yazım hatası taktikleri yerine adlandırma varyasyonları kullandığını ortaya koydu. Geleneksel güvenlik önlemlerinin yakalamak için tasarlandığı yazım hataları ise sadece %9'luk bir dilimi oluşturuyor.
Bu değişim, söz konusu paketlerin masum taklitler olmaması nedeniyle kritik önem taşıyor. En yaygın davranışlar arasında ana bilgisayar ve sırların sızdırılması, ardından dropper'lar ve arka kapılar yer alıyor. Bu durum, rutin bir kurulum işlemini kimlik bilgisi hırsızlığı ve müteakip saldırılar için bir yol haline getiriyor. Saldırganlar, güvenilir bir projenin adını harf harf kopyalamak yerine, meşru bir projeye bitişik görünen isimler inşa ediyorlar.
Sonatype, en yaygın taktik olarak son ek eklemenin %43,6 oranında olduğunu belirledi. Bunu ön ek ekleme, gömülü hedef terimler, bağımlılık karışıklığı modelleri ve sürüm taklitçiliği izliyor. Örneğin, saldırganlar popüler bir kütüphanenin adına '-helper', '-config' veya '-plugin' gibi son ekler ekleyerek geliştiricilerin doğal olarak güvendiği paketler oluşturuyor. Bu yöntem, geliştiricilerin iş akışına sorunsuz bir şekilde entegre oluyor ve şüphe uyandırmıyor.
Bu bulgular, açık kaynak ekosistemindeki güvenlik tehditlerinin evrildiğini ve geleneksel savunma mekanizmalarının yetersiz kaldığını gösteriyor. Geliştiricilerin ve güvenlik ekiplerinin, yalnızca yazım hatalarına odaklanmak yerine, daha karmaşık adlandırma taktiklerini de tespit edebilen araçlar kullanması gerekiyor. Ayrıca, paketleri indirmeden önce kaynağını, imzasını ve davranışını dikkatlice incelemek, bu tür saldırılara karşı en etkili önlemlerden biri olarak öne çıkıyor.