Check Point CloudGuard Spectral Data Science ekibi, Python Paket Dizini (PyPI) deposunda steganografik bir teknik kullanarak görüntülerde kod gizleyebilen yeni bir kötü amaçlı paket tespit etti. Kötü amaçlı paket, GitHub’ın açık kaynaklı projeleri aracılığıyla kullanıcılara bulaşıyor.
Yeni uyarı, Python geliştiricilerinin kripto adreslerini değiştiren kötü amaçlı paketler konusunda uyarılmasından birkaç gün sonra geldi.
Detaylı analiz
Check Point’e göre, kötü amaçlı paket Python programlama dili için PyPI yazılım deposunda bulundu ve görüntü kodu gizleme anlamına gelen Steganografi aracılığıyla görüntülerdeki kodu gizlemek için tasarlandı.
Kampanyanın işleyişi, saldırganların bu kampanyayı kapsamlı bir planlama ile başlattığını ortaya koyan açık kaynaklı projeler aracılığıyla PyPI kullanıcılarına bulaşmayı içerir. Ayrıca, PyPI ile ilgili şaşırtma tekniklerinin sürekli olarak geliştiğini vurgulamaktadır.
Kötü Amaçlı Paket Ayrıntıları
Check Point’in blog gönderisi, kötü amaçlı paketin Apicolor olarak adlandırıldığını kaydetti. Başlangıçta, PyPI’deki geliştirme paketi gibi görünüyordu, ancak kurulum komut dosyasına yönelik daha derin bir araştırma, danışma belgesinde “başlangıçta garip, önemsiz olmayan bir kod bölümü” ortaya çıkardı.
Bu kod, ek gereksinimleri manuel olarak yükledi ve web’den bir resim indirdi. Daha sonra görüntü işleme için yeni kurulan paketi kullandı ve exec komutuyla oluşturulan işleme çıktısını tetikledi.
Şüphelenmeyen bir kullanıcı, web’de yasal projeler ararken ve kötü niyetli bir paket içe aktarma getirdiğini bilmeden yüklerken bu GitHub açık kaynaklı projelere erişecektir.
“Kodun işe yaradığını unutmamak önemlidir. Bazı durumlarda, boş kötü amaçlı paketler var.”
Kontrol Noktası
Bu kötü amaçlı paketin, yeteneklerini farklı şekillerde kamufle edebildiği için daha önce keşfedilen tüm paketlerden farklı olduğunu belirtmekte fayda var. Ayrıca, PyPI kullanıcılarını hedefleme şekli, kötü niyetli GitHub içe aktarmalarıyla hedeflenir ve bulaşır.
Check Point, kullanıcıları tehdit kodu tarayıcılarını kullanmaya ve üçüncü taraf paketlerini kullanmadan önce tekrar kontrol etmeye çağırıyor. GitHub’ın belirli bir proje için derecelendirmelerinin sentetik olarak oluşturulmadığından emin olmak da önemlidir.
Alakalı haberler
- GitHub: Hackerlar OAuth Erişim Belirteçlerini Çaldı
- Tedarik Zinciri Saldırısında Klonlanan GitHub Depoları
- Çinli Hackerlar Windows Logosunda Kötü Amaçlı Yazılımları Gizliyor
- Etkilenen WAV dosyaları, PC’lere kötü amaçlı yazılım, kripto madencileri yükler
- Bilgisayar korsanları, meta verileri taklit ediyor, yanlış GitHub depoları oluşturuyor