Bilgisayar korsanları, güvenlik açıklarından yararlanmak ve yaygın olarak kullanılan Python kitaplıklarına kötü amaçlı kod eklemek için genellikle PyPI paketlerini hedef alır.
Son zamanlarda FortiGuard Laboratuvarlarındaki siber güvenlik araştırmacıları, kimlik bilgilerini çalmak için Discord kullanıcılarına saldıran kötü amaçlı bir PyPI paketini tespit etti.
Keşfedilen kötü amaçlı PyPI paketi, “discordpy_bypass-1.7” olarak tanımlanarak 10 Mart 2024’te yayınlandı ve 12 Mart 2024’te tespit edildi.
.webp)
Theaos tarafından yazılan ve hemen hemen benzer özelliklere sahip yedi versiyondan oluşan paket, ısrar teknikleri, tarayıcıdan veri çıkarma ve token toplama yoluyla kurbanlardan hassas bilgilerin elde edilmesini amaçlıyor.
Teknik Analiz
discordpy_bypass-1.7 PyPI paketi, analiz ortamlarına karşı kod gizleme ve kaçırma teknikleri yoluyla kullanıcı sistemlerinden hassas verileri almak için tasarlanmış kötü niyetli davranışlar kullanarak kalıcı siber saldırılar göstermektedir.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Bu kod, bir hata ayıklama veya analiz ortamında çalıştığında kendini algılamak ve çıkmak için farklı kontroller kullanır ve algılamayı engelleme girişimlerini gösterir.
Kodlama üç düzeyde şaşırtma içerir: –
- orijinal Python kodunu kodlayan base64
- Gizleme teknikleriyle kodlama
- discordpy_bypass/discordpy_bypass.py tarafından uzak bir URL’den getirilen yürütülebilir dosyaya derleme
Kod ayrıca kara listeye alınmış işlemleri kontrol etmek gibi hata ayıklama ortamı algılama tekniklerini de içerir ve sistem IP/MAC adresleri, engellenen listelerle karşılaştırılır.
.webp)
Bu durum insanların bu tür tehditlere karşı en başından itibaren tetikte olmalarını ve inisiyatif almalarını kritik hale getiriyor.
FortiGuard, hata ayıklama ortamlarını tespit etmek için; kod, sistem kullanıcı adını, ana bilgisayar adını ve donanım kimliğini bazı engellenenler listelerine göre hızlı bir şekilde kontrol eder.
Uzaktan kontrol ve izleme için değişkenlerin başlatılması ve Socket.IO olaylarının ayarlanması, dosya işlemleri, dizin gezinmesi ve komut yürütme gibi eylemleri etkinleştirir.
Özellikle Discord’un kimlik doğrulama belirteçleri, oturum açma kimlik bilgileri, çerezler ve web geçmişi gibi hassas tarayıcı verilerinin toplanmasının hedefidir.
Bunları uzak bir sunucuya yüklemeden önce, çıkarılan tokenlerin şifresini çözer ve doğrular.
discordpy_bypass-1.7 kodu, tespit ve analizden kaçınmak için kaçınılmaz önlemler kullanarak önemli sistem verilerini sessizce çalmayı amaçlayan akıllı ve gizli bir siber tehdittir.
Bu sanatsal “kostüm”, çevrimiçi tehditlere ve uyanık olmanın ve güçlü korumalara sahip olmanın gerekliliğine işaret ediyor.
Bu tür tehditlere dair bilgi sahibi olan araştırmacılar, ortak dikkat ve işbirliği yoluyla kullanıcıların kişisel bilgilerini ve genel güvenliğini artıracak daha güvenli sistemler tasarlayabilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.