PyPI Kullanıcılarına Yönelik Son Kimlik Avı Saldırılarının Arkasındaki JuiceLedger Hackerları Var

Arkasındaki operatörler hakkında daha fazla ayrıntı ortaya çıktı, özellikle programlama dili için resmi üçüncü taraf yazılım deposu olan Python Paket Dizini’ne (PyPI) yöneliktir.

İzlenen bir tehdit aktörüne bağlanması JuiceLedger siber güvenlik firması SentinelOne ve Checkmarx, grubu 2022’nin başlarında ortaya çıkan nispeten yeni bir varlık olarak nitelendirdi.

İlk “düşük anahtar” kampanyaların, kurbanların web tarayıcılarından şifreleri ve diğer hassas verileri sifonlamak için tasarlanmış JuiceStealer .NET tabanlı bir kötü amaçlı yazılım sunmak için sahte Python yükleyici uygulamalarının kullanımını içerdiği söyleniyor.

JuiceLedger aktörlerinin hedeflenen PyPi paketi katkıda bulunanlar bir kimlik avı kampanyasında, kötü amaçlı yazılım içeren üç paketin ele geçirilmesiyle sonuçlanır.

SentinelOne araştırmacısı Amitai Ben Shushan Ehrlich, “PyPI paketine katkıda bulunanlara yönelik tedarik zinciri saldırısı, yılın başlarında potansiyel kurbanları sahte kripto para ticareti uygulamaları yoluyla hedef alan bir kampanyanın tırmanması gibi görünüyor.” söz konusu rapor.

Siber güvenlik firması, hedefin muhtemelen truva atlı ve yazım hatası paketlerinin bir karışımı yoluyla bilgi hırsızını daha geniş bir kitleye bulaştırmak olduğunu ekledi.

Google’ı şu adımları atmaya teşvik eden parasal ödülleri duyurmak kamu malı olan projelerinde kusurları bulmak.

Hesap devralma saldırılarının yazılım tedarik zincirlerini zehirlemek isteyen saldırganlar için popüler bir enfeksiyon vektörü haline gelmesiyle birlikte, PyPI “kritik” kabul edilen projeler için zorunlu iki faktörlü kimlik doğrulama (2FA) gereksinimini uygulamaya başladı.

SentinelOne, “JuiceLedger, yalnızca birkaç ay önce fırsatçı, küçük ölçekli enfeksiyonlardan çok hızlı bir şekilde büyük bir yazılım distribütörüne tedarik zinciri saldırısı gerçekleştirmeye dönüştü” dedi.