Kötü Amaçlı PyPI Paketi, Google Cloud Kimlik Bilgilerini Çalmak İçin macOS’u Hedef Alıyor


27 Tem 2024Haber odasıSiber Güvenlik / Bulut Güvenliği

Kötü Amaçlı PyPI Paketi

Siber güvenlik araştırmacıları, dar bir kurban havuzundan kullanıcıların Google Cloud kimlik bilgilerini çalmayı amaçlayan, Apple macOS sistemlerini hedef alan Python Paket Endeksi (PyPI) deposunda kötü amaçlı bir paket keşfettiler.

“lr-utils-lib” adlı paket, kaldırılmadan önce toplam 59 indirmeye ulaştı. Haziran 2024’ün başlarında kayıt defterine yüklendi.

Checkmarx araştırmacısı Yehuda Gelb Cuma günü yayınlanan bir raporda, “Kötü amaçlı yazılım, belirli macOS makinelerini hedeflemek ve Google Cloud kimlik doğrulama verilerini toplamak için önceden tanımlanmış karmaların bir listesini kullanıyor” dedi. “Toplanan kimlik bilgileri uzak bir sunucuya gönderiliyor.”

Siber güvenlik

Paketin önemli bir yönü, öncelikle bir macOS sistemine kurulup kurulmadığını kontrol etmesi ve ancak bundan sonra sistemin Evrensel Benzersiz Tanımlayıcısını (UUID) sabit kodlanmış 64 karma değerden oluşan bir listeyle karşılaştırmasıdır.

Tehlikeye atılan makine önceden tanımlanmış kümede belirtilenlerden biriyse, ~/.config/gcloud dizininde bulunan ve Google Cloud kimlik doğrulama verilerini içeren application_default_credentials.json ve credentials.db adlı iki dosyaya erişmeye çalışır.

Kötü Amaçlı PyPI Paketi

Yakalanan bilgiler daha sonra HTTP üzerinden uzak bir sunucuya iletilir “europe-west2-workload-422915[.]bulutfonksiyonları[.]açık.”

Checkmarx ayrıca LinkedIn’de “Lucid Zenith” isimli sahte bir profil bulduğunu, bu profilin paketin sahibiyle eşleştiğini ve kendisinin Apex Companies’in CEO’su olduğunu iddia ettiğini, bunun da saldırıda sosyal mühendislik unsuru olabileceğini gösterdiğini belirtti.

Kampanyanın arkasında tam olarak kimin olduğu şu anda bilinmiyor. Ancak, siber güvenlik firması Phylum’un macOS ana bilgisayarının UUID’sini kontrol ettikten sonra kötü amaçlı eylemlerini serbest bıraktığı bulunan “requests-darwin-lite” adlı bir Python paketini içeren başka bir tedarik zinciri saldırısının ayrıntılarını açıklamasından iki aydan fazla bir süre sonra geldi.

Bu kampanyalar, tehdit aktörlerinin sızmak istedikleri macOS sistemleri hakkında önceden bilgi sahibi olduklarının ve kötü amaçlı paketlerin yalnızca belirli makinelere dağıtılmasını sağlamak için büyük çaba sarf ettiklerinin bir işaretidir.

Ayrıca kötü niyetli kişilerin, geliştiricileri kandırarak uygulamalarına dahil etmelerini sağlamak amacıyla benzer paketleri dağıtmak için kullandıkları taktiklere de değiniyor.

“Bu saldırının bireyleri mi yoksa işletmeleri mi hedef aldığı net olmasa da, bu tür saldırılar işletmeleri önemli ölçüde etkileyebilir,” dedi Gelb. “İlk ihlal genellikle bireysel bir geliştiricinin makinesinde gerçekleşse de, işletmeler için etkileri önemli olabilir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link