Kötü Amaçlı PyPI Paketleri, WhiteSnake InfoStealer Kötü Amaçlı Yazılımını Windows Makinelerine Kaydırıyor

Kötü amaçlı yazılımlarla dolu paketler nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends ve TestLibs111 olarak adlandırılır. "WS" adlı bir tehdit aktörü tarafından yüklendiler.

Fortinet FortiGuard Labs, geçen hafta yayınlanan bir analizde, "Bu paketler, setup.py dosyalarında PE'nin veya diğer Python komut dosyalarının Base64 kodlu kaynak kodunu içeriyor" dedi.

"Kurban cihazların işletim sistemine bağlı olarak, bu Python paketleri

Windows sistemlerine WhiteSnake Stealer bulaşmış olsa da, güvenliği ihlal edilmiş Linux ana bilgisayarlarına bilgi toplamak için tasarlanmış bir Python komut dosyası sunulur. Ağırlıklı olarak Windows kullanıcılarını hedef alan etkinlik, JFrog ve Checkmarx'ın geçen yıl açıkladığı önceki bir kampanyayla örtüşüyor.

"Windows'a özgü yük, [...] Anti-VM mekanizmasına sahip WhiteSnake kötü amaçlı yazılımı, Tor protokolünü kullanarak bir C&C sunucusuyla iletişim kurar ve kurbandan bilgi çalabilir ve komutları yürütebilir," dedi JFrog Nisan 2023'te.

Ayrıca web tarayıcılarından, kripto para cüzdanlarından ve WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal ve Telegram gibi uygulamalardan veri toplamak için tasarlanmıştır.

Checkmarx, PYTA31 takma adı altında kampanyanın arkasındaki tehdit aktörünü takip ediyor ve nihai hedefin hassas ve özellikle kripto cüzdan verilerini hedef makinelerden sızdırmak olduğunu belirtiyor.

Yeni yayınlanan hileli paketlerden bazılarının, yetkisiz işlemler gerçekleştirmek için saldırgana ait cüzdan adresleriyle pano içeriğinin üzerine yazmak için kesme işlevi içerdiği de gözlemlendi. Diğer birkaçı tarayıcılardan, uygulamalardan ve kripto hizmetlerinden veri çalmak için yapılandırılmıştır.

Fortinet, bulgunun "tek bir kötü amaçlı yazılım yazarının, her biri farklı yük karmaşıklıklarına sahip çok sayıda bilgi çalan kötü amaçlı yazılım paketini zaman içinde PyPI kitaplığına yayma yeteneğini gösterdiğini" söyledi.

Açıklama, ReversingLabs'ın npm paket kayıt defterinde, yüklendikleri geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub'dan yararlandığı tespit edilen iki kötü amaçlı paket keşfetmesiyle geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği