Ayda 1 Milyon İndirilen Açık Kaynaklı Pakette Kritik Güvenlik İhlali
2 dk okumaars-technica
PAYLAS:
İçeriğe Atla
Makine öğrenimi sistemlerini izlemek için kullanılan ve ayda 1 milyondan fazla indirilen açık kaynaklı "element-data" paketi, siber saldırganlar tarafından ele geçirildi. Geliştiricilerin iş akışındaki bir güvenlik açığını kullanan bilgisayar korsanları, kullanıcıların API token'ları ve bulut kimlik bilgileri gibi hassas verilerini çaldı.
Saldırganlar, geliştiricilerin oluşturduğu bir GitHub action üzerindeki güvenlik açığını istismar ederek sisteme sızdı. Zararlı bir kod içeren pull request gönderen bilgisayar korsanları, geliştirici hesabı içinde bir bash betiği çalıştırmayı başardı. Bu betik sayesinde hassas verilere, hesap token'larına ve imza anahtarlarına ulaşan saldırganlar, orijinalinden neredeyse ayırt edilemeyen zararlı bir element-data paketi yayınladı.
Zararlı yazılım içeren 0.23.3 sürümü, geliştiricilerin Python Package Index (PyPI) ve Docker hesaplarında yayınlandı. Çalıştırıldığında sistemleri tarayan bu paket; kullanıcı profilleri, veri ambarı kimlik bilgileri, bulut sağlayıcı anahtarları, API token'ları ve SSH anahtarlarını ele geçirdi. Üçüncü taraf bir hata raporuyla durumun fark edilmesinin ardından, zararlı paket yaklaşık 12 saat içinde yayından kaldırıldı.
Geliştiriciler, 0.23.3 sürümünü kuran veya etkilenen Docker imajını çalıştıran herkesin, ortamdaki tüm kimlik bilgilerinin ifşa olduğunu varsayması gerektiğini belirtti. Kullanıcıların acilen bu sürümü kaldırarak 0.23.4 sürümüne geçmeleri ve önbellek dosyalarını silmeleri tavsiye ediliyor. Ayrıca macOS ve Linux sistemlerinde /tmp/.trinny-security-update dosyasının varlığı kontrol edilmeli ve etkilenen ortamdaki tüm şifreler yenilenmelidir.
Son on yılda, açık kaynak depolarına yönelik tedarik zinciri saldırıları giderek daha yaygın hale geldi. runZero'nun kurucusu ve CEO'su HD Moore, kullanıcı tarafından geliştirilen depo iş akışlarının güvenlik açıkları barındırmasıyla ünlü olduğunu vurguladı. Moore, açık depoları olan projeler için bunun büyük bir sorun olduğunu ve saldırganların istismar edebileceği tehlikeli iş akışlarını yanlışlıkla oluşturmamanın oldukça zor olduğunu ifade etti.
--- **İlgili Kaynaklar:** İlgili SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) platformuna göz atabilirsiniz.Türkiye'deki yazılım geliştiriciler ve veri bilimi ekipleri de bu paketi kullanıyor olabileceğinden, yerel şirketlerin bulut ve API altyapıları risk altında olabilir.
Makine öğrenimi ve veri analitiği yapan Türk şirketlerinin bulut kimlik bilgileri ve API anahtarları tehlikeye girmiş olabilir.
Türk yazılımcıların CI/CD süreçlerinde ve GitHub action kullanımlarında güvenlik denetimlerini artırmaları gerekecek.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
