Saldırganlar, kötü amaçlı yükleri görünüşte meşru Python paketlerinin derinliklerine gizler ve bu tür iki paket bulunmuştur. Bunlardan biri, img-aws-s3-object-multipart-copy, GitHub’daki gerçek bir kütüphanenin kopyasıdır.
Kodu, ek kötü amaçlı yazılımları indirip çalıştırması muhtemel olan gizli bir betik olan loadformat.js’yi çalıştırmak için değiştirdiler. Bu, kötü niyetli, sofistike bir saldırgan olduğunu gösteriyor.
Bir saldırgan, görüntünün her bir baytını tarayan ve bayt değeri yazdırılabilir bir ASCII karakterine (32 ile 126 arasında) karşılık geliyorsa dönüştürülüp bir değişkende saklanan kötü amaçlı kodu bir görüntü dosyasının içine gizler.
Yazdırılamayan karakterler, belirli sayıda yazdırılabilir karakter toplanmamışsa atılır ve bu da gizli kodun işlevselliğini bozmadan görüntüye yerleştirilebileceği anlamına gelen potansiyel bir açığı tetikler.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Kod bir görüntü dosyasını analiz eder ve potansiyel olarak gömülü kodu yürütür ve görüntü dosyasının boyutu 2000 bayttan büyükse, görüntüden çıkarılan gizli kodun yürütülmesini tetikleyecek bir değişken ayarlanır.
.webp)
Çıkarılan bu kod daha sonra sağlanan kütüphanelerle (https, exec ve os) birleştirilerek yeni bir fonksiyon haline getirilir ve yürütülür; kod parçacığı gizli kodun işlevselliğini ortaya koymasa da, yürütülmesi potansiyel kötü niyetli bir niyet olduğunu düşündürür.
Kod parçacığı üç resim dosyasını (logo1.jpg, logo2.jpg ve logo3.jpg) analiz ediyor, ancak yalnızca logo2.jpg (Microsoft logosu) kötü amaçlı davranışı tetikliyor ve bu da enfekte olmuş makineyi ana bilgisayar adı ve işletim sistemi bilgilerini kullanarak uzak bir sunucuya (85.208.108.29) kaydediyor.
.webp)
Daha sonra sunucudan komutları alıp periyodik olarak çalıştırmak için bir döngü kurar.
Komutlar bir dizini değiştirmeyi (“cd”) veya “exec” fonksiyonuyla keyfi kod çalıştırmayı içerebilir. Yürütme sonuçları daha sonra sunucuya geri gönderilir.
Kod, ilk kayıt sırasında ana bilgisayar adı ve işletim sistemi ayrıntıları da dahil olmak üzere temel sistem bilgilerini ileten 85.208.108.29 IP adresindeki uzak komuta ve kontrol sunucusuyla (C2) bir bağlantı kurar.
Daha sonra, C2’den her 5 saniyede bir (0x1388 milisaniye) komutları almak için yinelenen bir zamanlayıcı ayarlar.
.webp)
İndirilen komutlar, tehlikeye atılan cihazda yerel olarak yürütülür ve ortaya çıkan çıktı, “/post-results?clientId=” aracılığıyla saldırgana geri gönderilir.
Phylum’a göre kod parçacığı, uzaktaki bir saldırgandan kötü amaçlı komutları almak ve yürütmek için kalıcı bir iletişim kanalı sağlıyor.
Bildirilen iki kötü amaçlı paketin npm’de uzun süre erişilebilir kalması, mevcut tespit sistemlerinin sınırlamalarını ve açık kaynaklı ekosistemlerdeki büyüyen tehdit ortamını gözler önüne serdi.
Karmaşık ve yaygın kötü amaçlı paketlerin sayısındaki artış, açık kaynaklı kütüphane tüketimiyle ilişkili potansiyel riskler konusunda geliştirici ve güvenlik farkındalığının artırılmasını gerekli kılıyor.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.