Siber güvenlik araştırmacıları, Python Paket Endeks (PYPI) deposunda, görünüşte zararsız anlaşmazlık ile ilgili bir hizmet olarak maskelenen ancak uzaktan erişim truva atını içeren kötü niyetli bir paket keşfettiler.
Söz konusu paket, 21 Mart 2022’de PYPI’ye yüklenen Discordpydebug’dur. 11.574 kez indirilmiş ve açık kaynak kayıt defterinde mevcut olmaya devam etmektedir. İlginç bir şekilde, paket o zamandan beri herhangi bir güncelleme almadı.
Soket araştırma ekibi, “İlk bakışta, Discord.py kütüphanesini kullanarak Discord Bots üzerinde çalışan geliştiricilere yönelik basit bir yardımcı program gibi görünüyordu.” Dedi. “Ancak, paket tamamen işlevsel bir uzaktan erişim Truva atı (sıçan) gizledi.”
Paket, bir kez yüklendikten sonra harici bir sunucu ile iletişim kurar (“backstabprotection.jamesx123.REPL[.]CO “) ve sunucudan alınan komutlara, Readfile veya WriteFile’a dayalı keyfi dosyaları okumak ve yazmak için özellikler içerir. Sıçan ayrıca kabuk komutlarını çalıştırma yeteneğini de destekler.
Özetle, DiscordPydebug, yapılandırma dosyaları, jetonlar ve kimlik bilgileri gibi hassas verileri okumak, mevcut dosyalara kurcalama, ek yükler indirmek ve verileri eklemek için komutları çalıştırmak için kullanılabilir.
Socket, “Kod kalıcılık veya ayrıcalık artış mekanizmaları içermese de, sadeliği onu özellikle etkili hale getiriyor.” Dedi. “Gelen bağlantılar yerine giden HTTP yoklamasının kullanımı, özellikle daha az sıkı kontrollü geliştirme ortamlarında, çoğu güvenlik duvarını ve güvenlik izleme araçlarını atlamasını sağlar.”
Geliştirme, yazılım tedarik zinciri güvenlik şirketi, geliştiricileri yüklemeye kandırmanın bir yolu olarak diğer ekosistemlerde bulunan meşru kütüphaneler olarak poz veren 45 npm paketini de ortaya çıkarırken geliyor. Dikkate değer olanlardan bazıları aşağıda listelenmiştir –
- BeautifulSoup4 (BeautifulSoup4 Python Kütüphanesi’nin Typosquat)
- Apache-httpclient (Apache Httpclient Java Kütüphanesi’nin Typosquat)
- Opentk (Opentk .NET kütüphanesinin bir yazım hatası)
- Seaborn (Seaborn Python Kütüphanesi’nin Yüzey Planı)
Belirlenen tüm paketlerin aynı altyapıyı paylaştığı, benzer gizlenmiş yükleri kullandığı ve tek bir tehdit aktörünün çalışmalarını gösteren farklı bakımcıların listelemesine rağmen aynı IP adresine işaret ettiği bulunmuştur.
Socket, “Bu kampanyanın bir parçası olarak tanımlanan paketler, güvenlik önlemlerini atlamak, kötü amaçlı komut dosyaları yürütmek, hassas verileri dışarı atmak ve etkilenen sistemlerde kalıcılığı korumak için tasarlanmış gizlenmiş kod içerir.” Dedi.