Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposuna yüklenen ve Lumma (diğer adıyla LummaC2) adı verilen bir bilgi hırsızı sunmak üzere tasarlanmış kötü amaçlı bir Python paketi keşfettiler.
Söz konusu paket, crytic-compile adlı meşru bir kütüphanenin yazım hatası yapılmış bir versiyonu olan crytic-compilers’tır. Hileli paket, PyPI bakımcıları tarafından kaldırılmadan önce 441 kez indirildi.
“Sahte kütüphane bu bakımdan ilginçtir, ayrıca [to] Sonatype güvenlik araştırmacısı Ax Sharma, adını meşru Python yardımcı programı ‘crytic-compile’dan aldığı için sürüm numaralarını gerçek kitaplıkla aynı hizaya getiriyor” dedi.
“Gerçek kitaplığın en son sürümü 0.3.7’de dururken, sahte ‘kritik derleyiciler’ sürümü tam burada başlayıp 0.3.11’de bitiyor; bu da bileşenin daha yeni bir sürümü olduğu izlenimini veriyor.”
Hileye devam etmek için yapılan başka bir girişimde, crytic-derleyicilerin bazı sürümlerinin (örneğin, 0.3.9) setup.py betiğinde yapılan bir değişiklik yoluyla gerçek paketi yüklediği bulundu.
Ancak en son sürüm, işletim sisteminin Windows olup olmadığını belirleyerek iyi huylu kitaplık iddiasını bir kenara bırakıyor ve eğer öyleyse, bir yürütülebilir dosyayı (“s.exe”) başlatıyor; bu dosya da aşağıdakiler dahil ek yükleri getirmek üzere tasarlandı: Lumma Hırsızı.
Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında diğer suç aktörlerinin kullanımına sunulan bir bilgi hırsızı olan Lumma, truva atı haline getirilmiş yazılım, kötü amaçlı reklam ve hatta sahte tarayıcı güncellemeleri gibi çeşitli yöntemlerle dağıtılmaktadır.
Sharma, keşfin “tecrübeli tehdit aktörlerinin artık Python geliştiricilerini hedef aldığını ve güçlü veri hırsızlığı cephaneliği için bir dağıtım kanalı olarak PyPI gibi açık kaynak kayıtlarını kötüye kullandığını gösterdiğini” söyledi.
Sahte Tarayıcı Güncelleme Kampanyaları Yüzlerce WordPress Sitesini Hedefliyor
Bu gelişme, Sucuri’nin 300’den fazla WordPress sitesinin, site ziyaretçilerini bilgi hırsızlarının ve uzaktan erişim truva atlarının yayılmasına yol açan sahte MSIX yükleyicilerine yönlendiren kötü amaçlı Google Chrome güncelleme açılır pencereleriyle tehlikeye atıldığını ortaya çıkarmasıyla ortaya çıktı.
Saldırı zincirleri, tehdit aktörlerinin WordPress yönetici arayüzüne yetkisiz erişim elde etmesini ve sahte tarayıcı güncelleme pop-up’larını görüntülemekten sorumlu kodu yüklemek için Hustle – Email Marketing, Lead Generation, Optins, Popups adlı meşru bir WordPress eklentisini yüklemesini içerir.
Güvenlik araştırmacısı Puja Srivastava, “Bu kampanya, bilgisayar korsanları arasında kötü amaçlı amaçlar için meşru eklentilerden yararlanma yönünde artan bir eğilimin altını çiziyor” dedi. “Bunu yaparak, çoğu eklenti verilerini WordPress veritabanında sakladığından dosya tarayıcılarının tespitinden kurtulabilirler.”