Python Paket Dizini (PyPI) deposunu hedefleyen başka bir kampanyada, geliştirici sistemlerine bilgi hırsızları yerleştiren altı kötü amaçlı paket bulundu.
Phylum tarafından 22 Aralık ile 31 Aralık 2022 arasında keşfedilen ve artık kaldırılan paketler arasında pyrologin, easytimestamp, discorder, discord-dev, style.py ve pythonstyles yer alıyor.
Kötü amaçlı kod, giderek artan bir şekilde, bu kitaplıkların kurulum komut dosyasında (setup.py) gizlenmiştir, yani bir “pip install” komutunu çalıştırmak, kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için yeterlidir.
Kötü amaçlı yazılım, bir ZIP arşiv dosyasını alan bir PowerShell komut dosyası başlatmak, pynput, pydirectinput ve pyscreenshot gibi istilacı bağımlılıklar yüklemek ve daha fazla PowerShell kodu yürütmek için arşivden çıkarılan bir Visual Basic Komut Dosyası çalıştırmak üzere tasarlanmıştır.
Phylum, geçen hafta yayınlanan bir teknik raporda, “Bu kitaplıklar, fare ve klavye girişlerini kontrol edip izlemenize ve ekran içeriklerini yakalamanıza izin veriyor” dedi.
Hileli paketler ayrıca Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX ve Vivaldi tarayıcılarından çerezleri, kayıtlı şifreleri ve kripto para birimi cüzdan verilerini toplayabilir.
Ancak, tehdit aktörü tarafından benimsenen yeni bir teknikte, saldırı, “kaynaklarınızı halka açık bir IP adresi olmadan Cloudflare’a bağlamanın güvenli bir yolunu sunan” Cloudflare Tunnel için bir komut satırı aracı olan cloudflared’i indirip yüklemeye çalışır. “
Özetle fikir, xrat (ancak Phylum tarafından kod adı powerRAT) olarak adlandırılan bir truva atı barındıran Flask tabanlı bir uygulama aracılığıyla güvenliği ihlal edilmiş makineye uzaktan erişmek için tünelden yararlanmaktır.
Kötü amaçlı yazılım, tehdit aktörünün kabuk komutları çalıştırmasına, uzak dosyaları indirip ana bilgisayarda yürütmesine, dosyalara ve tüm dizinlere sızmasına ve hatta rastgele python kodu çalıştırmasına olanak tanır.
Flask uygulaması ayrıca, kurbanın girdiği hassas bilgileri almak için fare ve klavye tıklama olaylarını dinlemek ve sistemin ekran görüntülerini yakalamak için JavaScript kullanan “canlı” bir özelliği de destekler.
Phylum, “Bu şey steroid kullanan bir RAT gibidir,” dedi. “İlkel bir uzak masaüstü yeteneği ve önyükleme için bir hırsız ile güzel bir web GUI’sinde yerleşik olarak tüm temel RAT özelliklerine sahiptir!”
Bulgular, saldırganların taktiklerini açık kaynak paket havuzlarını hedeflemek ve tedarik zinciri saldırılarını sahnelemek için sürekli olarak nasıl geliştirdiklerini gösteren bir başka pencere.
Geçen ayın sonlarında Phylum, kurulu sistemlerden ortam değişkenlerini sızdırdığı tespit edilen bir dizi sahte npm modülünü de ifşa etti.