Dikkat edin: Bu PyPI Python Paketleri Kripto Cüzdanlarınızı Boşaltabilir
Tehdit avcıları, Python Paket Dizini (PyPI) deposunda, bir kripto para cüzdanının özel anahtarlarını kurtarmak için kullanılan BIP39 anımsatıcı ifadelerini çalmak için tasarlanmış yedi paket keşfetti.
Yazılım tedarik zinciri saldırı kampanyası, ReversingLabs tarafından BIPClip olarak kodlandı. Paketler, PyPI'den kaldırılmadan önce toplu olarak 7.451 kez indirildi. Paketlerin listesi aşağıdaki gibidir -
- jsBIP39-decrypt (126 indirme)
- bip39-mnemonic-decrypt (689 indirme)
- mnemonic_to_address (771 indirme)
- ERC20-tarayıcı (343 indirme)
- genel adres oluşturucu (1,005 indirme)
- hashdecrypt (4,292 indirme)
- hashdecrypts (225 indirme)
Kripto para cüzdanları oluşturma ve güvence altına alma ile ilgili projeler üzerinde çalışan geliştiricileri hedefleyen BIPClip'in, hashdecrypt'in kayıt defterinde ilk yayınlandığı en az 4 Aralık 2022'den beri aktif olduğu söyleniyor.
Güvenlik araştırmacısı Karlo Zanki, paylaşılan bir raporda, "Bu, kripto varlıklarını hedef alan en son yazılım tedarik zinciri kampanyası" dedi. "Kripto para biriminin tedarik zinciri tehdit aktörleri için en popüler hedeflerden biri olmaya devam ettiğini doğruluyor."
Kampanyanın arkasındaki tehdit aktörlerinin tespit edilmekten kaçınmaya özen gösterdiğinin bir işareti olarak, söz konusu paketlerden biri olan mnemonic_to_address, kötü amaçlı bileşeni içeren bip39-mnemonic-decrypt'in bağımlılığı olarak listelenmesini engelleyen herhangi bir kötü amaçlı işlevsellikten yoksundu.
Zanki, "Paketin bağımlılıklarına bakmayı tercih etseler bile, içe aktarılan modülün adı ve çağrılan işlev, BIP39 standardının uygulamaları birçok kriptografik işlem içerdiğinden, meşru işlevleri taklit etmek ve şüphe uyandırmamak için dikkatlice seçilmiştir" dedi.
Paket, kendi adına, anımsatıcı ifadeleri çalmak ve bilgileri aktör tarafından kontrol edilen bir sunucuya sızdırmak için tasarlanmıştır.
ReversingLabs tarafından tanımlanan diğer iki paket – genel adres oluşturucu ve erc20-tarayıcı – benzer bir şekilde çalışır ve ilki, anımsatıcı ifadeleri aynı komut ve kontrol (C2) sunucusuna iletmek için bir cazibe görevi görür.
Öte yandan, hashdecrypts, bir çift olarak çalışmak üzere tasarlanmadığı ve verileri toplamak için kendi içinde neredeyse aynı kodu içerdiği için biraz farklı çalışır.
Yazılım tedarik zinciri güvenlik firmasına göre paket, hashdecrypts paketini kullanarak kripto cüzdanlarından anımsatıcı ifadeleri çıkarmanın bir yolu olarak tanıtılan hCrypto adlı bir depoya sahip "HashSnake" adlı bir GitHub profiline referanslar içeriyor.
Deponun commit geçmişinin daha yakından incelenmesi, Python betiklerinden birinin daha önce hashdecrypts yerine hashdecrypt ("s" olmadan) paketini 1 Mart 2024'e kadar içe aktardığı gerçeğine dayanarak kampanyanın bir yıldan fazla bir süredir devam ettiğini ortaya koyuyor.
HashSnake hesabının arkasındaki tehdit aktörlerinin, yazılımlarının reklamını yapmak için Telegram ve YouTube'da da bir varlığı olduğunu belirtmekte fayda var. Bu, 7 Eylül 2022'de xMultiChecker 2.0 adlı bir kripto günlüğü kontrol aracını sergileyen bir video yayınlamayı içerir.
Zanki, "Keşfedilen paketlerin her birinin içeriği, daha az şüpheli görünmelerini sağlamak için özenle hazırlandı" dedi.
"Kripto cüzdanlarını tehlikeye atmaya ve içerdikleri kripto para birimlerini çalmaya odaklandılar. Daha geniş bir gündemin ve hırsların olmaması, bu kampanyanın güvenliği ihlal edilmiş kuruluşlarda konuşlandırılan güvenlik ve izleme araçlarını tetikleme olasılığını azalttı."
Bulgular, GitHub gibi meşru hizmetlerin kötü amaçlı yazılımları dağıtmak için bir kanal olarak kullanılmasıyla daha da kötüleşen açık kaynaklı paket havuzlarında gizlenen güvenlik tehditlerinin altını bir kez daha çiziyor.
Ayrıca, terk edilmiş projeler, tehdit aktörlerinin geliştirici hesaplarının kontrolünü ele geçirmesi ve daha sonra büyük ölçekli tedarik zinciri saldırılarının önünü açabilecek truva atı haline getirilmiş sürümleri yayınlaması için çekici bir vektör haline geliyor.
"Terk edilmiş dijital varlıklar geçmişin kalıntıları değil; saatli bombalar yapıyorlar ve saldırganlar onlardan giderek daha fazla yararlanıyor ve onları açık kaynak ekosistemlerinde Truva atlarına dönüştürüyorlar" dedi.
"MavenGate ve CocoaPods vaka çalışmaları, terk edilmiş alan adlarının ve alt alan adlarının, kullanıcıları yanıltmak ve kötü niyeti yaymak için nasıl ele geçirilebileceğini vurguluyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı