Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), yakın zamanda Python Paket Dizinini (PyPI) hedef alan karmaşık bir tedarik zinciri saldırısını ortaya çıkardı.
Neredeyse bir yıl boyunca tespit edilemeyen saldırı, JarkaStealer kötü amaçlı yazılımının değiştirilmiş bir sürümünü dağıtmak için AI sohbet robotu araçları gibi görünen kötü amaçlı paketler içeriyordu.
Kaspersky GReAT güvenlik araştırmacısı Leonid Bezvershenko, PyPI’de ‘gptplus’ ve ‘claudeai-eng’ adlı iki kötü amaçlı paketin keşfedilmesine öncülük etti.
.webp)
Kasım 2023’te yüklenen bu paketler, popüler AI dil modelleri ChatGPT ve Claude ile çalışmaya yönelik araçları akıllıca taklit etti.
Araştırmacı, paketlerin açıklamalarının, şüphelenmeyen geliştiricileri cezbetmek için sohbet oluşturma ve dil modellerine mesaj gönderme gibi ikna edici kullanım örnekleri içerdiğini gözlemledi.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Meşruiyet yanılsamasını sürdürmek için tehdit aktörleri, ChatGPT’nin demo proxy’si ile etkileşimler uyguladı.
Ancak bu paketleri içe aktardıktan sonra, gizli bir işlem Base64 kodlu verileri çalıştırarak GitHub deposundan JavaUpdater.jar adlı bir JAR dosyası indirir.
.webp)
Bu dosya, tarayıcı verilerini çalabilen, ekran görüntüleri yakalayabilen, sistem bilgilerini toplayabilen ve Telegram, Discord ve Steam gibi çeşitli uygulamalardan oturum verilerini çıkarabilen güçlü bir kötü amaçlı yazılım olan JarkaStealer’ın bir sürümünü içeriyordu.
Kötü amaçlı paketler, keşfedilip kaldırılmadan önce 30’dan fazla ülkede 1.700’den fazla indirildi. Kampanyanın belirli bir kuruluşu veya coğrafi bölgeyi hedeflediği görülmese de en yüksek etkinlik ABD, Çin, Fransa, Almanya ve Rusya’da rapor edildi.
.webp)
Kaspersky’nin araştırması, JarkaStealer’ın bir Telegram kanalı ve bot mağazası aracılığıyla Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli altında dağıtıldığını ortaya çıkardı. Kötü amaçlı yazılımın kaynak kodunun GitHub’a sızdırıldığı da tespit edildi; bu durum, potansiyel olarak kötü niyetli kişiler tarafından daha geniş bir dağıtıma olanak sağlıyor.
.webp)
Bezvershenko, özellikle yapay zeka gibi yeni gelişen teknolojilerle uğraşırken yazılımların ve bağımlılıkların meşruiyetini ve güvenliğini sağlamak için sıkı doğrulama ve bütünlük kontrolleri uygulamanın önemini vurguladı.
Kaspersky bulgularını PyPI’ye bildirerek kötü amaçlı paketlerin kaldırılmasını sağladı. Siber güvenlik firması, yazılım tedarik zincirini korumak için benzer tehditleri aktif olarak izlemeye devam ediyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin