Phylum’daki araştırmacılar kısa süre önce bilgisayar korsanlarının bilgilerini çalmak için Python geliştiricilerinin makinelerine bilgi çalan kötü amaçlı yazılım enjekte ettiğini keşfetti.
Daha derine indikçe, birçok farklı isme sahip yeni bir hırsız varyantı keşfettiler. Bunun dışında programın kaynak kodu, bunun eski Stealer W4SP’nin basit bir kopyası olduğunu ortaya koyuyor.
Saldırı Zinciri Kötü Amaçlı Yazılım Dağıtmak
Bu durumda bir hırsız, kodu gizlemek veya tespitten kaçma girişimleri hakkında bariz olmak yerine doğrudan main.py dosyasına düştü.
Saldırganın niyetini karartmak ve karartmak için birden çok aşamanın kullanıldığı yalnızca bir örnek bulundu. Bu durumda, saldırgan, onu elde etmek için basit bir ilk aşamayı kullanarak klgrth.io web sitesinden gizlenmiş kodu çekmek için chazz adlı bir paket kullandı.
Hırsız kodunun ilk aşaması ile enjekte eden kodu arasında büyük benzerlik vardır. Bu, BlankOBF ile gizlenmiş olsa da, bu bir şaşırtma programıdır. Gizlenmesi kaldırılır kaldırılmaz, Leaf $tealer’ı ortaya çıkarır.
Kötü Amaçlı Paketler
Aşağıda, benzer IOC içeren paketler listelenmiştir ve bunun dışında, bu listenin önümüzdeki aylarda ve yıllarda artmasını bekleyebiliriz:-
- modül güvenliği – “Gök Hırsızı”
- bilgilendirme modülü – “Yaprak $ tealer”
- chazz – yukarıda gösterilen gizlenmiş kodu içeren https://www.klgrth.io/paste/j2yvv/raw adresinden çekilen ilk aşama
- rastgele zaman – “MELEK hırsızı”
- proxygeneratorbil – “@skid ÇALICI”
- kolay kayıt – “@skid Hırsızı”
- kolaykordon – “@skid Hırsızı”
- Tomproxy’ler – “@skid ÇALICI”
- sys-ej – “Hyperion Gizlenmiş kod”
- bilgi sistemleri – “@734 Hırsızı”
- sistem desteği – “Toplu FA Hırsızı”
- şimdi – “MELEK Hırsızı”
- upamonkws – “SAF Hırsız”
- kaptan – “@skid ÇALICI”
- proxy güçlendirici – “Fade Hırsızı”
W4SP Kopyaları
W4SP’nin loTus deposundaki orijinal yayını, GitHub’ın Şartlar ve Koşullarının ihlali nedeniyle GitHub personeli tarafından devre dışı bırakıldı ve sonuç olarak artık bulunamayacak.
Kalıcı, yaygın ve korkunç doğaları nedeniyle altyapılarını nihayet çökertme girişiminde bulunan bu tehdit aktörlerinin eylemlerini izlemek bir süredir Phylum’un göreviydi.
W4SP-Stealer deposu kaldırılır kaldırılmaz, W4SP-Stealer’ın birkaç kopyasının farklı adlar altında yanıp sönmeye başladığı keşfedildi. Bu yeni hırsız, tehdit aktörleri tarafından şimdiden PyPI aracılığıyla dağıtılıyor, bu da onun gerçek bir tehdit haline geldiğinin bir işareti.
W4SP’nin, her biri kendi amacına sahip iki farklı takma ad altında iki GitHub deposunda barındırıldığı keşfedildi.
Aceeontop adlı bir hesapta barındırılan W4SP’nin önceki sürümlerinin yanı sıra orijinal kaynağın bir kopyası burada bulunmaktadır.
W4SP Stealer, taklitleri ve diğer varyantları gibi, muhtemelen oldukça uzun bir süre sahnenin bir parçası olarak kalacaktır.
Zaman geçtikçe deneme sayılarında, sebatlarında ve karmaşıklıklarında sürekli bir artış olacaktır. Ancak Phylum, platformu bunu yapacak kadar yetenekli olduğu için tedarik zinciri saldırılarını azaltacağını ve engelleyeceğini garanti etti.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin