Siber güvenlik araştırmacıları, Python programlama dilinin resmi üçüncü taraf yazılım deposu olan Python Paket Endeksi’nde (PyPI), geliştiricilerin makinelerine kötü amaçlı yazılım adı verilen bir kötü amaçlı yazılım bulaştırmayı amaçlayan 29 paket ortaya çıkardı. W4SP Hırsız.
Yazılım tedarik zinciri güvenlik şirketi Phylum, bu hafta yayınlanan bir raporda, “Ana saldırı, 12 Ekim 2022 civarında başlamış gibi görünüyor ve 22 Ekim civarında yoğun bir çabaya yavaş yavaş güç katıyor.” Dedi.
Hatalı paketlerin listesi aşağıdaki gibidir: typeutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, request-httpx, colorama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algoritmik, oiu, iao, curlapi, type-color ve pyhints.
Toplu olarak, paketler 5.700’den fazla kez indirildi, bazı kütüphaneler (örneğin, twyne ve colorama) şüphelenmeyen kullanıcıları kandırmak için yazım hatası yapmaya güveniyor.
Sahte modüller, kötü amaçlı yazılımı uzak bir sunucudan alan bir Python kodunu başlatmak için paketlerin “setup.py” komut dosyasına kötü amaçlı bir içe aktarma ifadesi ekleyerek mevcut meşru kitaplıkları yeniden amaçlar.
Açık kaynaklı Python tabanlı bir truva atı olan W4SP Stealer, ilgilenilen dosyaları, şifreleri, tarayıcı çerezlerini, sistem meta verilerini, Discord belirteçlerini ve MetaMask, Atomic ve Exodus kripto cüzdanlarından gelen verileri çalma yetenekleriyle birlikte gelir.
Bu, W4SP Stealer’ın PyPI deposunda görünüşte iyi huylu paketler yoluyla teslim edilmesi değil. Ağustos ayında Kaspersky, kötü amaçlı yazılımı son bir yük olarak dağıttığı tespit edilen pyquest ve ultrarequests adlı iki kitaplığı ortaya çıkardı.
Bulgular, hassas bilgileri toplamak ve tedarik zinciri saldırılarına yol açmak için tasarlanmış kötü amaçlı paketleri yaymak için açık kaynak ekosistemlerinin sürekli kötüye kullanıldığını gösteriyor.
Phylum, “Bu, kararlı bir saldırganın sürekli değişen taktikleriyle devam eden bir saldırı olduğundan, yakın gelecekte bunun gibi daha fazla kötü amaçlı yazılım göreceğimizden şüpheleniyoruz” dedi.