Cyble Research and Intelligence Labs (CRIL), kötü amaçlı Python paketlerini aktif olarak izleyerek rahatsız edici bir eğilimi ortaya çıkardı. Son bulgularından biri, birden çok kötü amaçlı Python paketi aracılığıyla yayılan KEKW adlı bir InfoStealer’ın keşfini içeriyor.
Python Paket Dizini olarak bilinen PyPI, Python programlama dili için popüler bir üçüncü taraf yazılım deposudur. Ancak kötü amaçlı Python paketlerindeki artış, geliştiriciler ve güvenlik araştırmacıları arasında endişelere yol açtı.
Sonuç olarak, CRIL olayla ilgili kapsamlı araştırmalar yürüterek sorunun boyutunu ortaya çıkardı ve bu kötü amaçlı Python paketlerinin çeşitli yönlerine ışık tuttu.
Kötü niyetli Python paketlerinde artış
Araştırmaları sırasında CRIL, PePy’den elde edilen istatistiklere dayanarak 45.000’den fazla kez indirilen 160’tan fazla kötü niyetli Python paketi tespit etti.
Daha da endişe verici olan, bu kötü amaçlı paketlerin indirilmesindeki aydan aya artıştı. Neyse ki, PyPI tüm bu paketleri derhal kaldırarak daha fazla bulaşmayı önledi.
CRIL, sorunun büyüklüğünü görselleştirmek için son üç ayda indirilen paket sayısının dağılımını gösteren bir grafik sağladı. CRIL’in soruşturması sırasında bulunan dikkate değer bir şey, kasıtlı olarak yanlış yazılmış adlara sahip Python paketlerinin yüklenmesiydi.
Tehdit aktörleri, paket kurulumları sırasında kullanıcıların yazım hatalarından yararlanarak, kullanıcıların farkında olmadan kötü amaçlı paketler yüklemelerine yol açtı.
Örneğin CRIL, “requests” adlı yasal ve yaygın olarak kullanılan bir Python paketini taklit eden “reaquests” adlı bir paket buldu. Bu tür paketler, kullanıcıları kötü amaçlı yazılım bulaşma riskiyle karşı karşıya bırakır.
CRIL ayrıca bu kötü amaçlı paketlerle ilişkili birkaç kötü amaçlı yazılım çeşidini de ortaya çıkardı. Bu paketler, toplu olarak 1355 indirme biriktiren aynı indiriciyi kullandı.
İndirici, çok katmanlı gizleme teknikleriyle bilinen Hyperion Python karartıcı kullanılarak gizlenmiş, belirlenmiş bir URL’den uzak bir komut dosyası alır.
Tehdit aktörleri tarafından yaygın olarak kullanılan açık kaynaklı bir hırsız olan Creal Stealer’ın da Python paketleri aracılığıyla dağıtıldığı keşfedildi. 1300’den fazla kez indirilen bu paketler, kötü amaçlı Python paketleriyle ilişkili tehlikeleri daha da vurgulamaktadır.
EvilPIP’in Yayılması ve Etkileri
CRIL’in soruşturması, 300’den fazla indirilmiş “Sintaxiscodigo-0.0.0-py3-none-any” adlı bir paketle karşılaştı.
Daha fazla analiz, bu paketin kötü niyetli bir PyPI modülü olan EvilPIP’i yaydığını ortaya çıkardı. Belirli bir modül kaldırılmış olmasına rağmen, yüklenmesi, kullanıcıları etkileme niyetini ortaya koydu.
CRIL’in analizi, kötü amaçlı Python paketleri aracılığıyla yayılan InfoStealers’ın yaygınlığını vurguladı.
GitHub gibi platformlarda bilgi hırsızları için kodun bulunması, tehdit aktörlerinin kampanyalarında bu tür kötü amaçlı yazılımlardan yararlanmalarını sağladı.
Kötü amaçlı paketlerin oluşturduğu riskleri azaltmak için, kullanıcıların ve işletmelerin Python paketlerini kurarken dikkatli olmaları ve bunların güvenilir kaynaklardan elde edildiğinden emin olmaları istenmektedir.
Güvenlik önlemlerini düzenli olarak güncellemek ve güvenilir antivirüs yazılımı kullanmak, bu tehditlere karşı ek koruma sağlayabilir.
Ayrıca, tKötü amaçlı Python paketlerindeki artış, PyPI’nin yeni kullanıcı ve proje adı kayıtlarını geçici olarak askıya almasına neden oldu.
CRIL tarafından yürütülen soruşturmalar, yanlış yazılmış paket adlarının kullanımı, yeni kötü amaçlı yazılım varyantlarının çoğalması ve tehdit aktörleri tarafından gizleme tekniklerinin benimsenmesi de dahil olmak üzere sorunun kapsamına ışık tutuyor.