PyPI deposunda Windows ve Linux sistemlerine bulaşan 116 kötü amaçlı yazılım paketi bulundu

Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposunda Windows ve Linux sistemlerine özel bir arka kapı bulaştırmak için tasarlanmış bir dizi 116 kötü amaçlı paket belirledi.

ESET araştırmacıları Marc-Etienne M.Léveillé ve Rene Holt, bu haftanın başlarında yayınlanan bir raporda, "Bazı durumlarda, nihai yük, kötü şöhretli W4SP Stealer'ın bir çeşidi veya kripto para birimini çalmak için basit bir pano monitörü veya her ikisidir" dedi.

Paketlerin Mayıs 2023'ten bu yana 10.000'den fazla indirildiği tahmin ediliyor.

Etkinliğin arkasındaki tehdit aktörlerinin, kötü amaçlı kodu Python paketlerine paketlemek için üç teknik kullandığı, yani bir test.py komut dosyası aracılığıyla, PowerShell'i setup.py dosyaya gömdüğü ve __init__.py dosyasına gizlenmiş biçimde dahil ettiği gözlemlendi.

Kullanılan yöntemden bağımsız olarak, kampanyanın nihai amacı, hedeflenen ana bilgisayarı, öncelikle uzaktan komut yürütme, veri sızdırma ve ekran görüntüsü alma yeteneğine sahip bir arka kapı olan kötü amaçlı yazılımla tehlikeye atmaktır. Arka kapı modülü Windows için Python'da ve Linux için Go'da uygulanır.

Alternatif olarak, saldırı zincirleri, W4SP Stealer'ın veya bir kurbanın pano etkinliğini yakından takip etmek için tasarlanmış bir kesme amaçlı yazılımının konuşlandırılması ve varsa orijinal cüzdan adresinin saldırgan tarafından kontrol edilen bir adresle değiştirilmesiyle de sonuçlanır.

Geliştirme, saldırganların açık kaynak ekosistemini zehirlemek ve tedarik zinciri saldırıları için bir dizi kötü amaçlı yazılım dağıtmak için yayınladığı güvenliği ihlal edilmiş Python paketleri dalgasının en sonuncusu.

Ayrıca, hırsız kötü amaçlı yazılımları dağıtmak için gizli bir kanal görevi gören sürekli bir sahte PyPI paketi akışına en yeni eklemedir. Mayıs 2023'te ESET, özelliklerini W4SP Stealer'dan ödünç alan Sordeal Stealer'ı yaymak için tasarlanmış başka bir kitaplık kümesini ortaya çıkardı.

Ardından, geçen ay, görünüşte zararsız gizleme araçları gibi görünen kötü amaçlı paketlerin, BlazeStealer kod adlı bir hırsız kötü amaçlı yazılımı dağıttığı bulundu.

Araştırmacılar, "Python geliştiricileri, sistemlerine yüklemeden önce indirdikleri kodu kapsamlı bir şekilde incelemeli, özellikle bu teknikleri kontrol etmelidir" diye uyardı.

Açıklama ayrıca, "gelişmiş bir düşman simülasyon tatbikatının" bir parçası olarak isimsiz bir finans kurumunu hedef alan npm paketlerinin keşfini de takip ediyor. Şifrelenmiş bir blob içeren modüllerin adları, kuruluşun kimliğini korumak için saklanmıştır.

Yazılım tedarik zinciri güvenlik firması Phylum geçen hafta yaptığı açıklamada, "Bu şifresi çözülmüş yük, kullanıcı kimlik bilgilerini söz konusu hedef şirketin dahili bir Microsoft Teams web kancasına akıllıca sızdıran gömülü bir ikili dosya içeriyor" dedi.