Dünya çapındaki Python geliştiricileri, Python programlama dili için yazılım paketleri için popüler bir havuz olan PyPI (Python Paket Dizini) aracılığıyla kod paylaşır ve indirir.
Yaygın olarak kullanılan PyPI, onu geliştiricilere veya projelerine saldırmak isteyen tehdit aktörleri için uygun bir hedef haline getirir.
Cyble Research and Intelligence Labs (CRIL), “Kötü niyetli PyPI paketleri aracılığıyla yayılan InfoStealers sıklığının arttığı kaydedildi” diyor.
Yakın zamanda Cyble Research and Intelligence Labs (CRIL) tarafından birkaç kötü amaçlı yazılımda ‘KEKW’ adlı yeni bir kötü amaçlı yazılım keşfedildi. [Python.whl](Tekerlek) dosyaları.
KEKW kötü amaçlı yazılımı, virüs bulaşmış sistemlerden gizli verileri çalma becerisine ek olarak, kripto para birimi işlemlerinin ele geçirilmesiyle sonuçlanabilecek kesme işlemleri gerçekleştirir.
CRIL, “İncelenmekte olan Python paketlerinin PyPI deposunda bulunmadığını bulduk, bu da Python güvenlik ekibinin kötü amaçlı paketleri kaldırdığını gösteriyor” dedi.
“Ayrıca CRIL, Python güvenlik ekibiyle 02-05-2023 tarihinde doğrulama yaptı ve kötü amaçlı paketleri yüklenmelerinden sonraki 48 saat içinde kaldırdıklarını doğruladı”.
Yine de, olayın etkisinin asgari düzeyde olabileceğine inanılıyor.
KEKW Kötü Amaçlı Yazılım Yayma Paketleri
- pythonsqlitetool-1.0.0
- pipsqlpackageV2-1.0.0
- pipfontingaddonsV2-1.0.0
- pythoncryptoaddition-1.0.0
- pipcoloringsextV1-1.0.0
- syssqlitemods-1.0.0
- syscryptographymodsV2-1.0.0
- syscoloringspkg-1.0.0
- syssqlite2toolsV2-1.0.0
- pythoncolorlibV1-1.0.0
- pythoncryptolibV2-1.0.0
- pythonsqlite2toolsV1-1.0.0
- pycolorkits-1.0.0
- pythoncoloringslibV2-3.0.0
- pythoncoloringslibV2-3.0.2
- pythoncoloringslibV2-3.0.1
- pythoncoloringslibV2-1.0.0
- pysqlite3pkgV2-1.0.0
- pyapicolorv2-0.0.1
- pythoncryptlibery-1.0
- pipcryptaddsV2-1.0.0
- sysdatalib-0.0.2
- pysqlibraryV1-1.0.0
- syscryptlibV2-1.0.0
- syssqlite2package-1.0.0
- pipcolourpackagesV2-1.0.0
- pylibfont-0.1.0
- pythonsqlite2mod-1.0.0
CRIL, kırpıcı işlevini ve hırsızı kullanarak, bu kampanya sırasında mali hırsızlık yapan TA’ları tespit edebildi.
Ek olarak, TA’nın kesme etkinliğine bağlı çeşitli kripto adreslerine sahip bir dizi hırsız yükü görüldü.
“Paketlerdeki Python dosyalarının çoğunun “kekwltd” alan adını içerdiğini keşfettik.[.]ru”. Buna karşılık, yalnızca birkaçı “siyah başlık” içeriyordu.[.]ru”, bu etki alanlarının TA ile bağlantılı olabileceğini öne sürüyor,” diye açıklıyor CRIL.
Özellikle, Python paket dosyasının ana amacı, hata ayıklamayı önleme, kalıcılık, sistem verilerini toplama, diğer uygulamalardan özel bilgileri çalma ve yakalama, kesme işlemleri gerçekleştirme ve daha fazlası dahil olmak üzere çeşitli yetenekler içerir.
system_information() işlevi, KEKW kötü amaçlı yazılımı tarafından oturum açma kullanıcı adı, bilgisayar adı, Windows ürün anahtarı ve sürümü, RAM boyutu, HWID, IP adresi, coğrafi konum, Google Haritalar verileri ve daha fazlası dahil olmak üzere sistemle ilgili bilgileri toplamak için kullanılır.
Kötü amaçlı Python betiğinin ana hedefi, hedefin web tarayıcısından aşağıdakiler dahil hassas verileri çıkarmaktır:
- şifreler
- Kurabiye
- geçmişler
- Kredi kartı detayları
- Jetonlar
- Profiller
Python komut dosyası, tarayıcı bilgilerini Google Chrome, Microsoft Edge, Yandex, Brave, Amigo ve diğerleri dahil olmak üzere çeşitli web tarayıcılarından dosyalardan çıkarmak için birkaç farklı işlev kullanır.
Hedeflenen tarayıcılardan kimlik bilgileri almak için Python işlevinin kod parçacığı aşağıdaki resimde gösterilmektedir.
Bu nedenle, Python güvenlik ekibinin kötü amaçlı paketleri kaldırma konusundaki hızlı eylemi, bu durumun ciddiyetini azaltmıştır. Ancak bu örnek, tedarik zinciri tehditlerinin devam eden tehlikesini ve dikkatli olmanın ve iyi bir siber güvenlik hijyeni sağlamanın önemini vurgulamaktadır.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
