Phylum’daki BT güvenlik araştırmacılarına göre, düzinelerce kötü niyetli piton paketler, geliştirici panolarındaki kripto adreslerini değiştirerek geliştiricileri hedefler.
Phylum araştırmacıları düzinelerce yazım hatası paketi belirledi ve birkaç paketin daha dahil olduğu ayrı bir kampanya da belirlendi. Bu kampanya aynı zamanda geliştiricileri ve onların kripto para birimini de hedefliyor.
Daha da kötüsü, araştırmacılar bu kötü amaçlı paketlerin her gün 29 milyondan fazla indirildiğini keşfetti.
Kullanma usulü, çalışma şekli
Paket yüklendikten sonra, devam eden bir web tarama oturumunun arka planında kötü amaçlı bir JavaScript dosyası başlatılır. Bu nedenle, bir geliştirici pano bir kripto para birimi adresini kopyalarsaldırganın adresi ile değiştirilir.
Şimdiye kadar, bu paketler yüzden fazla kez indirildi. Her kötü amaçlı paketin yükü setup.py dosyasında bulunur. Saldırganlar, ilginç yolların bir listesini alarak saldırı zincirini başlatır. Kullanıcının bir yönetici hesabı varsa, saldırgan listeye ek bir yol ekler.
Daha sonra, henüz olmaması durumunda bir Uzantı yöneticisi oluşturacaklar. Son olarak, saldırgan, clipboardWrite ve clipboardRead izinlerini istemek için $APPDATA\\Extension klasörüne gizlenmiş bir JavaScript ve $APPDATA\\Extension klasörüne bir manifest.json yazacaktır.
Kötü Amaçlı Paketler Listesi
Şu anda aktif olan bu kampanyada paketlerin listesi sürekli olarak genişlemektedir. İçinde Blog yazısı 7 Kasım’da yayınlanan Phylum’un Kurucu Ortağı ve eski NSA yazılım geliştiricisi Louis Lang aşağıdaki listeyi paylaştı:
baeutifulsoup4 beautifulsup4 cloorama cryptograpyh crpytography djangoo ipyhton mail-validator mariabd notebok pillwo pyautogiu pygaem pytorhc python-dateuti python-flask python3-flask pyyalm rqeuests slenium sqlachemy sqlalcemy tkniter urlllib hello-world-exampl hello-world-example mysql-connector-pyhton
İlişkili Tehlikeler
Yükü başarıyla bıraktıktan ve gerekli izinleri aldıktan sonra, saldırgan sayfada bir metin alanı oluşturabilir ve pano içeriğini yapıştır veya yaygın kripto para birimi adres biçimlerini aramak için normal ifadeler kullanın.
Ayrıca, yapabilirler tanımlanan adresleri değiştir önceden oluşturulmuş metin alanında saldırgan tarafından kontrol edilen adreslerle. Güvenliği ihlal edilmiş geliştirici bir cüzdan adresini kopyaladığında, kötü amaçlı paket, adresi saldırgan tarafından kontrol edilen bir adresle değiştirir ve yanlışlıkla saldırganın cüzdanına para aktarılmasına yol açar.
Ancak şu anda, saldırgan kontrollü cüzdanlardan herhangi birine para aktarılmadı, bunlara aşağıdakiler de dahil:
- TRX TWStXoQpXzVL8mx1ejiVmkgeUVGjZz8LRx
- LTC LPDEYUCna9e5dYaDPYorJBXXgc43tvV9Rq
- BNB bnb1cm0pllx3c7e902mta8drjfyn0ypl7ar4ty29uv
- BTC bc1qqwkpp77ya9qavyh8sm8e4usad45fwusg7vs5v
- ETH 0x18c36eBd7A5d9C3b88995D6872BCe11a080Bc4d9
Phylum, kötü niyetli paketlerin bildirilmiş olmasına rağmen, indirme ve paket sayılarının artmaya devam edebileceğini varsayıyor.
Alakalı haberler
- Trojan Source saldırısı, bilgisayar korsanlarının kaynak kodundan yararlanmasına izin veriyor
- Kripto kötü amaçlı yazılımlarla dolu 6 resmi Python deposu
- Discord Jetonlarının Sifonlanmasında Kullanılan Kötü Amaçlı npm Paketleri
- Cryptojacking Kampanyası Kiss-a-dog Docker ve Kubernetes’i Vuruyor
- Siber suçlular, kötü amaçlı NPM paketleriyle kötü amaçlı yazılım yazarlarını vurdu