Adına göre bir tehdit aktörü Lolip0p güvenliği ihlal edilmiş geliştirici sistemlerine kötü amaçlı yazılım bırakmak için tasarlanmış üç hileli paketi Python Paket Dizini (PyPI) deposuna yükledi.
7 Ocak 2023 ile 12 Ocak tarihleri arasında yazar tarafından Colorslib (sürüm 4.6.11 ve 4.6.12), httpslib (sürüm 4.6.9 ve 4.6.11) ve libhttps (sürüm 4.6.12) olarak adlandırılan paketler, 2023. O zamandan beri PyPI’den çekildiler, ancak toplamda 550’den fazla kez indirilmeden önce değil.
Fortinet geçen hafta yayınlanan bir raporda, modüllerin PowerShell’i çağırmak ve Dropbox’ta barındırılan kötü amaçlı bir ikili (“Oxzy.exe”) çalıştırmak için tasarlanmış aynı kurulum komut dosyalarıyla birlikte geldiğini açıkladı.
Yürütülebilir dosya başlatıldıktan sonra, Windows geçici klasöründe (“%USER%\AppData\Local\Temp\”) çalışan bir sonraki aşamanın, yine update.exe adlı bir ikili dosyanın alınmasını tetikler.
update.exe, VirusTotal’daki virüsten koruma satıcıları tarafından, biri Microsoft tarafından Wacatac olarak algılanan ek ikili dosyaları da bırakabilen bir bilgi hırsızı olarak işaretlenmiştir.
Windows üreticisi, truva atını, fidye yazılımı ve diğer yükleri dağıtmak da dahil olmak üzere “PC’nizde kötü niyetli bir bilgisayar korsanının seçimine göre bir dizi eylemi gerçekleştirebilen” bir tehdit olarak tanımlıyor.
Fortinet FortiGuard Labs araştırmacısı Jin Lee, “Yazar ayrıca ikna edici bir proje açıklaması ekleyerek her paketi meşru ve temiz olarak konumlandırıyor” dedi. “Ancak, bu paketler kötü amaçlı bir ikili yürütülebilir dosyayı indirip çalıştırıyor.”
Açıklama, Fortinet’in hassas kişisel bilgileri toplamak ve sızdırmak için benzer yetenekler barındıran Shaderz ve aioconsol adlı diğer iki hileli paketi ortaya çıkarmasından haftalar sonra geldi.
Bulgular bir kez daha popüler açık kaynak paket havuzlarında kaydedilen kötü amaçlı faaliyetlerin sürekli akışını gösteriyor; burada tehdit aktörleri, bulaşmaların erişimini artırmak ve genişletmek için lekeli kod yerleştirmek için güven ilişkilerinden yararlanıyor.
Kullanıcıların, tedarik zinciri saldırılarının tuzağına düşmekten kaçınmak için güvenilmeyen yazarların paketlerini indirirken ve çalıştırırken dikkatli olmaları önerilir.