Siber Muhbir

Şimdi kaldırılan paketler pycryptoenv, pycryptoconf, quasarlib ve swapmempool'dur. Toplu olarak 3.269 kez indirildiler ve pycryptoconf 1.351 ile en fazla indirmeyi oluşturdu.

JPCERT/CC araştırmacısı Shusei Tomonaga, "Pycryptoenv ve pycryptoconf paket adları, Python'da şifreleme algoritmaları için kullanılan bir Python paketi olan pycrypto'ya benzer" dedi. "Bu nedenle, saldırgan muhtemelen kullanıcıların Python paketlerini yüklerken yazım hatalarını hedeflemek için kötü amaçlı yazılım içeren kötü amaçlı paketleri hazırladı."

Açıklama, Phylum'un npm kayıt defterinde Contagious Interview kod adlı bir kampanyanın parçası olarak yazılım geliştiricileri ayırmak için kullanılan birkaç hileli paketi ortaya çıkarmasından günler sonra geldi.

İki saldırı grubu arasındaki ilginç bir ortak nokta, kötü amaçlı kodun bir test komut dosyası ("test.py") içinde gizlenmiş olmasıdır. Ancak bu durumda, test dosyası yalnızca XOR kodlu bir DLL dosyası için bir sis perdesidir ve bu da IconCache.db ve NTUSER.DAT adlı iki DLL dosyası oluşturur.

Saldırı dizisi daha sonra NTUSER kullanır. Bir Windows yürütülebilir dosyasını getirmek ve çalıştırmak için bir komut ve kontrol (C2) sunucusuyla bağlantı kurmaktan sorumlu olan Comebacker adlı kötü amaçlı bir kötü amaçlı yazılım olan IconCache.db'ı yüklemek ve yürütmek için DAT.

JPCERT/CC, paketlerin, Phylum'un ilk olarak Kasım 2023'te Comebacker'ı sunmak için kripto temalı npm modüllerinden yararlanmak olarak detaylandırdığı bir kampanyanın devamı olduğunu söyledi.

Tomonaga, "Saldırganlar, kötü amaçlı yazılımın indirilmesi için kullanıcıların yazım hatalarını hedef alıyor olabilir" dedi. "Geliştirme ortamınıza modüller ve diğer yazılım türlerini yüklediğinizde, istenmeyen paketlerin yüklenmesini önlemek için lütfen bunu dikkatli bir şekilde yapın."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.