Hem Windows hem de Linux sistemlerini hedefleyen ve genellikle özel bir arka kapı dağıtan resmi Python PyPI paket deposu olan PyPI’de, kötü amaçlı Python projelerinden oluşan bir küme tespit edildi.
Bazı durumlarda nihai yük, kripto para birimlerini çalmak için tasarlanmış basitleştirilmiş bir pano monitöründen, kötü şöhretli W4SP Stealer’ın bir sürümünden veya her ikisinden oluşur.
ESET Araştırma tarafından Python programlama diliyle ilgili yazılımın resmi deposu olan PyPI’de 53 projede 116 kötü amaçlı paket bulundu.
10.000 Kötü Amaçlı Paket İndirmesi
Python programcıları kodu paylaşmak ve indirmek için sıklıkla PyPI’yi kullanır. Herkes depoya ekleme yapabileceğinden, kötü amaçlı yazılımlar orada görünebilir ve ara sıra popüler, yasal kod kitaplıkları biçimini alabilir.
Kurbanlar geçen yıl bu dosyaları 10.000’den fazla kez indirdiler. İndirme oranı Mayıs 2023’ten bu yana günde yaklaşık 80 oldu.
PyPI paketleri iki biçimde gelir: belirli bir Python sürümü veya işletim sistemi için derlenmiş modülleri içerebilen tekerlekler veya önceden oluşturulmuş paketler ve kurulumdan sonra oluşturulan ve tüm proje kaynak kodunu içeren kaynak paketleri.
Kaynak dağıtımdaki Python kodu, birçok durumda yerleşik dağıtımdakilerden farklıdır. Kötü amaçlı kod ikincisinde mevcut, ancak ilki temiz.
Bir tekerlek mevcut olduğunda Python’un paket yöneticisi pip, onu kaynak dağıtımına tercih eder. Böylece, farklı şekillerde açıkça belirtilmediği sürece kötü amaçlı olan yüklenir.
Kötü amaçlı kodun, etkinliğin arkasındaki tehdit aktörleri tarafından üç farklı teknik kullanılarak Python paketlerine eklendiği keşfedildi: bir test.py betiği, setup.py dosyasına gömülü PowerShell ve __init__.py dosyasına yerleştirilmiş gizlenmiş bir form. .
İkinci yöntem, Python projelerinin pip gibi paket yöneticileri tarafından kurulumuna yardımcı olmak için normalde otomatik olarak başlatılan setup.py dosyasına PowerShell kodunun eklenmesini içerir.
Üçüncü stratejide operatörler, meşru kodu dahil etme girişiminde bulunmadan, kötü amaçlı kodu yalnızca hafifçe gizlenmiş olarak pakete dahil eder.
Bu araştırma sırasında PyPI paketlerin çoğunu zaten kaldırmıştı. Bu araştırma sırasında PyPI paketlerin çoğunu zaten kaldırmıştı. 116 paketin tam listesini GitHub deposunda görüntüleyebilirsiniz.
“Python geliştiricileri, indirdikleri kodu, sistemlerine yüklemeden önce iyice incelemeli, özellikle bu teknikleri kontrol etmelidir. Araştırmacılar, açık kaynaklı W4SP Stealer’ı kötüye kullanmaya devam etmenin yanı sıra, operatörlerin aynı zamanda basit ama etkili bir arka kapı da devreye soktuklarını söyledi.