.png)
Gizli Yandan Yükleme Taktikleri Kullanılarak Yakalanan Yeni Kötü Amaçlı PyPI Paketleri
Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposunda, güvenlik yazılımı tarafından algılanmayı atlatmak ve kötü amaçlı kod çalıştırmak için DLL yandan yükleme adı verilen bir teknikten yararlandığı tespit edilen iki kötü amaçlı paket keşfetti.
NP6HelperHttptest ve NP6HelperHttper adlı paketlerin her biri, kaldırılmadan önce sırasıyla 537 ve 166 kez indirildi.
ReversingLabs araştırmacısı Petar Kirhmajer, paylaşılan bir raporda, "En son keşif, yazılım tedarik zinciri tehditlerinin kapsamının genişlediğini öne süren açık kaynaklı bir paket tarafından yürütülen DLL yandan yüklemesinin bir örneğidir" dedi.
NP6 adı, ChapsVision tarafından yapılan meşru bir pazarlama otomasyonu çözümüne atıfta bulunduğu için dikkat çekicidir. Özellikle, sahte paketler, ChapsVision çalışanlarından biri tarafından PyPI'ye yayınlanan yardımcı araçlar olan NP6HelperHttp ve NP6HelperConfig'in typosquat'larıdır.
Başka bir deyişle amaç, NP6HelperHttp ve NP6HelperConfig'i arayan geliştiricileri hileli karşılıklarını indirmeleri için kandırmaktır.
İki kitaplık içinde, Pekin merkezli Kingsoft Corporation'dan ("ComServer.exe") DLL dışarıdan yüklemeye ve kötü amaçlı DLL'nin dışarıdan yüklenmesine ("dgdeskband64.dll") karşı savunmasız olan gerçek bir yürütülebilir dosya olan iki dosyayı indirmek için tasarlanmış bir setup.py komut dosyası bulunur.
DLL'nin dışarıdan yüklenmesinde amaç, daha önce uzaktan erişim truva atı dağıtabilen kodu yürütmek için aynı teknikten yararlanan aabquerys adlı bir npm paketinde gözlemlendiği gibi kötü amaçlı kodun algılanmasını önlemektir.
DLL, saldırgan tarafından kontrol edilen bir etki alanına ulaşır ("us.archive-ubuntu[.] top"), gerçekte, kırmızı takım oluşturma için kullanılan bir sömürü sonrası araç seti olan Cobalt Strike Beacon için bir kabuk kodu parçası olan bir GIF dosyasını getirmek için.
Paketlerin, DLL dışarıdan yüklemeye duyarlı benzer yürütülebilir dosyaların dağıtımını içeren daha geniş bir kampanyanın parçası olduğunu gösteren kanıtlar vardır.
Güvenlik araştırmacısı Karlo Zanki, "Geliştirme kuruluşlarının tedarik zinciri güvenliği ve açık kaynaklı paket havuzları ile ilgili tehditlerin farkında olması gerekiyor" dedi.
"Açık kaynaklı paket depoları kullanmasalar bile, bu, tehdit aktörlerinin şirketleri, yazılım ürünlerini ve araçlarını taklit etmek için onları kötüye kullanmayacağı anlamına gelmez."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı