Siber güvenlik uzmanları, Python geliştiricilerini hedef alan yeni bir tehdit vektörü konusunda alarma geçti: Python Paket Dizininde (PyPI) yazım hatası.
Siber casusluk ve sabotaj faaliyetleriyle bilinen kötü şöhretli Lazarus grubunun, geliştiricilerin paketleri yüklerken yaptığı yazım hatalarından yararlanmak için tasarlanmış kötü amaçlı paketlerin yayınlanmasına karıştığı ortaya çıktı.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Yazım hatası: Kötü amaçlı yazılımlara yönelik bir ağ geçidi
JPCERT/CC, PyPI’de çeşitli kötü amaçlı paketlerin yayınlandığını doğruladı. pycryptoenv, pycryptoconf, quasarlibVe swapmempool.
Bu paketler meşru paketlere benzeyecek şekilde hazırlandı pycrypto package, Python’da yaygın olarak kullanılan bir şifreleme kütüphanesidir.
İnce yazım hatalarının amacı, şüphelenmeyen geliştiricileri kandırarak sistemlerine kötü amaçlı yazılım indirmelerini ve yüklemelerini sağlamaktır.
Kötü Amaçlı Paketlerin İçinde
Daha yakından incelendiğinde bu paketlerin yapısı kaygı verici bir kurguyu ortaya çıkarıyor. Örneğin, pycryptoenv bir Python betiği değil, XOR kodlu bir DLL dosyası olan test.py adında bir dosya içerir.
Paketin içindeki dosya, bu dosyanın kodunun çözülmesini ve yürütülmesini yönetir.
Comebacker adı verilen bu kötü amaçlı yazılım, siber güvenlik topluluğu için yeni değil. Google’ın Ocak 2021’de bildirdiği üzere Lazarus daha önce bunu güvenlik araştırmacılarını hedef alan bir kampanyada kullanmıştı.
Kötü amaçlı yazılım, kodun çözülmesinden başlayarak bir dizi adımla yürütülür. test.pyolarak kaydediyorum output.pyve ardından onu bir DLL dosyası olarak çalıştırıyorum.
Geri Dönüş Kötü Amaçlı Yazılım
Comebacker kötü amaçlı yazılımı, komut ve kontrol (C2) sunucularıyla iletişim kurmak için HTTP POST isteklerini kullanır.
Gönderilen ve alınan veriler kodlanır ve başarılı iletişim sonrasında sunucu, Windows çalıştırılabilir dosyasını geri gönderir.
Bu dosya daha sonra bellekte yürütülür ve geleneksel antivirüs yazılımı tarafından algılanması engellenir.
Lazarus, kötü amaçlı yazılımların npm de dahil olmak üzere farklı paket depoları aracılığıyla yayılmasında benzer teknikler kullanmış ve yazılım tedarik zincirlerine sızma konusunda daha kapsamlı bir yaklaşım önermiştir. Bu özel olay münferit bir olay değildir.
BleepingComputer tarafından hazırlanan önceki bir rapor, sahte VMware PyPI paketlerinin Lazarus bilgisayar korsanları tarafından dağıtıldığını vurgulayarak grubun geliştirici ekosistemlerine sızmaya odaklandığını daha da vurguladı.
Typosquatting Saldırılarına Karşı Koruma
Söz konusu kötü amaçlı paketlerin yüzlerce kez indirilmiş olması, pek çok geliştiricinin bu düzenin kurbanı olduğunu gösteriyor.
Geliştiricilerin paketleri yüklerken dikkatli olması, yazımı iki kez kontrol etmesi ve kaynağın orijinalliğini doğrulaması gerekir.
Ayrıca kuruluşlar, potansiyel olarak kötü amaçlı paketlerin kurulumunu tespit etmek ve engellemek için otomatik araçlar uygulamayı düşünmelidir.
Bu kötü amaçlı PyPI paketlerinin keşfi, gelişen tehdit ortamının ve geliştiriciler arasındaki farkındalığın artırılması ihtiyacının açık bir hatırlatıcısıdır.
Lazarus grubu stratejilerini geliştirmeye devam ederken siber güvenlik topluluğunun bu tür tehditleri belirleme ve azaltma konusunda proaktif kalması gerekiyor.
Kötü amaçlı yazılım, davranışı ve tehlike göstergeleri hakkında daha ayrıntılı bilgi için okuyucular JPCERT/CC tarafından sağlanan eklere yönlendirilir.
Bu makale, JPCERT/CC ve diğer siber güvenlik kaynaklarından elde edilen bulgulara ve raporlara dayanmaktadır.
Sağlanan bilgiler, yazım hatası riskleri ve dikkatli paket kurulum uygulamalarının önemi konusunda halkı eğitmeyi ve bilgilendirmeyi amaçlamaktadır.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.