Siber güvenlik araştırmacıları, açık kaynaklı Python Paket Dizini (PyPI) deposunda, bilgi çalan kötü amaçlı yazılım adı verilen kötü amaçlı yazılım sağlayan kötü amaçlı paketler belirlediler. Beyaz Yılan Hırsızı Windows sistemlerinde.
Kötü amaçlı yazılım içeren paketler nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends ve TestLibs111 olarak adlandırılıyor. Bunlar “WS” adlı bir tehdit aktörü tarafından yüklendi.
Fortinet FortiGuard Labs, geçen hafta yayınlanan bir analizde “Bu paketler, PE’nin Base64 kodlu kaynak kodunu veya diğer Python komut dosyalarını setup.py dosyalarında içeriyor” dedi.
“Kurban cihazlarının işletim sistemine bağlı olarak, bu Python paketleri yüklendiğinde son kötü amaçlı yük düşürülür ve yürütülür.”
Windows sistemlerine WhiteSnake Stealer bulaşırken, güvenliği ihlal edilmiş Linux ana bilgisayarlarına bilgi toplamak için tasarlanmış bir Python komut dosyası sunulur. Çoğunlukla Windows kullanıcılarını hedef alan etkinlik, JFrog ve Checkmarx’ın geçen yıl açıkladığı önceki bir kampanyayla örtüşüyor.
“Windows’a özgü yük, Windows’un bir çeşidi olarak tanımlandı […] JFrog, Nisan 2023’te şunları kaydetti: Anti-VM mekanizmasına sahip WhiteSnake kötü amaçlı yazılımı, Tor protokolünü kullanarak bir C&C sunucusuyla iletişim kurar ve kurbandan bilgi çalma ve komutları yürütme yeteneğine sahiptir.”
Ayrıca web tarayıcılarından, kripto para cüzdanlarından ve WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal ve Telegram gibi uygulamalardan veri yakalamak için tasarlanmıştır.
Checkmarx, kampanyanın arkasındaki tehdit aktörünü PYTA31 adı altında takip ediyor ve nihai hedefin, hedef makinelerden hassas ve özellikle kripto cüzdanı verilerini sızdırmak olduğunu belirtiyor.
Yeni yayınlanan hileli paketlerden bazılarının, yetkisiz işlemler gerçekleştirmek amacıyla pano içeriğinin üzerine saldırganın sahip olduğu cüzdan adreslerini yazmak için kesme işlevi içerdiği de gözlemlendi. Bazıları ise tarayıcılardan, uygulamalardan ve kripto hizmetlerinden veri çalmak üzere yapılandırılmıştır.
Fortinet, bulgunun “tek bir kötü amaçlı yazılım yazarının, her biri farklı yük karmaşıklıkları içeren çok sayıda bilgi çalan kötü amaçlı yazılım paketini zaman içinde PyPI kitaplığına yayma yeteneğini gösterdiğini” söyledi.
Açıklama, ReversingLabs’ın, npm paket kayıt defterindeki iki kötü amaçlı paketin, kuruldukları geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub’dan yararlandığının tespit edilmesinin ardından geldi.