Kötü Amaçlı PyPI Paketleri, WhiteSnake InfoStealer Kötü Amaçlı Yazılımını Windows Makinelerine Kaydırıyor
Siber güvenlik araştırmacıları, açık kaynaklı Python Paket Dizini (PyPI) deposunda, Windows sistemlerinde WhiteSnake Stealer adlı bilgi çalan bir kötü amaçlı yazılım gönderen kötü amaçlı paketler belirlediler.
Kötü amaçlı yazılımlarla dolu paketler nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends ve TestLibs111 olarak adlandırılır. "WS" adlı bir tehdit aktörü tarafından yüklendiler.
Fortinet FortiGuard Labs, geçen hafta yayınlanan bir analizde, "Bu paketler, setup.py dosyalarında PE'nin veya diğer Python komut dosyalarının Base64 kodlu kaynak kodunu içeriyor" dedi.
"Kurban cihazların işletim sistemine bağlı olarak, bu Python paketleri
Windows sistemlerine WhiteSnake Stealer bulaşmış olsa da, güvenliği ihlal edilmiş Linux ana bilgisayarlarına bilgi toplamak için tasarlanmış bir Python komut dosyası sunulur. Ağırlıklı olarak Windows kullanıcılarını hedef alan etkinlik, JFrog ve Checkmarx'ın geçen yıl açıkladığı önceki bir kampanyayla örtüşüyor.
"Windows'a özgü yük, [...] Anti-VM mekanizmasına sahip WhiteSnake kötü amaçlı yazılımı, Tor protokolünü kullanarak bir C&C sunucusuyla iletişim kurar ve kurbandan bilgi çalabilir ve komutları yürütebilir," dedi JFrog Nisan 2023'te.
Ayrıca web tarayıcılarından, kripto para cüzdanlarından ve WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal ve Telegram gibi uygulamalardan veri toplamak için tasarlanmıştır.
Checkmarx, PYTA31 takma adı altında kampanyanın arkasındaki tehdit aktörünü takip ediyor ve nihai hedefin hassas ve özellikle kripto cüzdan verilerini hedef makinelerden sızdırmak olduğunu belirtiyor.
Yeni yayınlanan hileli paketlerden bazılarının, yetkisiz işlemler gerçekleştirmek için saldırgana ait cüzdan adresleriyle pano içeriğinin üzerine yazmak için kesme işlevi içerdiği de gözlemlendi. Diğer birkaçı tarayıcılardan, uygulamalardan ve kripto hizmetlerinden veri çalmak için yapılandırılmıştır.
Fortinet, bulgunun "tek bir kötü amaçlı yazılım yazarının, her biri farklı yük karmaşıklıklarına sahip çok sayıda bilgi çalan kötü amaçlı yazılım paketini zaman içinde PyPI kitaplığına yayma yeteneğini gösterdiğini" söyledi.
Açıklama, ReversingLabs'ın npm paket kayıt defterinde, yüklendikleri geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub'dan yararlandığı tespit edilen iki kötü amaçlı paket keşfetmesiyle geldi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı