Bilgisayar korsanları, geliştirici ortamlarına saldırmak ve hassas bilgileri çalmalarını, kötü amaçlı yazılım yüklemelerini veya arka kapılar oluşturmalarını sağlayan zararlı kodları enjekte etmek için sürekli olarak kötü amaçlı Python paketlerini kullanırlar.
Yöntem, paketleme için yaygın olarak kullanılan depoları kullanarak saldırganların minimum çabasıyla yaygın bir etki yaratıyor.
CheckMarx’taki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin, Google Cloud oturum açma bilgilerini çalmak için macOS geliştiricilerine saldırmak amacıyla “lr-utils-lib” adlı kötü amaçlı paketi aktif olarak kötüye kullandığını tespit etti.
Kötü Amaçlı Python Paketi
“lr-utils-lib” adlı kötü amaçlı bir paketin, Google Cloud Platform kimlik bilgilerini çalmak amacıyla macOS sistemlerini hedef aldığı tespit edildi.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Paketin bu setup.py dosyası, kurulum sırasında özellikle macOS’a yönelik olarak etkinleştirilen ve sistem türünü kontrol ederek ve cihazın IOPlatformUUID’sini 64 önceden tanımlanmış bilinen karma değer listesiyle karşılaştıran gizli bir kod içeriyor.
Bu kötü amaçlı yazılım bir eşleşme bulduğunda ~/.config/gcloud/application_default_credentials.json dosyalarının yanı sıra credentials.db dosyalarına da ulaşıp hassas verileri almaya çalışır.
Tüm bunlar daha sonra uzak bir sunucuya (europe-west2-workload-422915.cloudfunctions.net) gönderilecektir.
Bu karmaşık saldırı, Apex Companies, LLC’nin CEO’su olduğunu iddia eden “Lucid Zenith” adlı sahte bir LinkedIn profiliyle bağlantılı.
Olay, siber tehditlerin kötü amaçlı yazılım dağıtımı, sosyal mühendislik taktikleri ve yapay zeka tabanlı arama motorlarının bilgileri doğrulama yeteneğindeki tutarsızlıklardan yararlanma gibi yöntemleri bir araya getirmesi açısından bugün ne kadar gelişmiş olduğunu ortaya koydu.
“Lr-utils-lib” kötü amaçlı yazılım saldırısına, Apex Companies, LLC’nin CEO’su olduğunu iddia eden “Lucid Zenith” adlı kişiye ait sahte bir LinkedIn hesabının karmaşık bir sosyal mühendislik yönü eşlik etti.
Yapay zeka destekli arama motorları bu hileyi yeterince doğrulayamadı, bazıları sahte verileri hatalı bir şekilde doğruladı.
Bu durum, tehdit aktörlerinin yapay zeka sistemleri tarafından yapılan bilgi doğrulamasındaki kusurlardan faydalanabildiğini ve dolayısıyla araştırma amaçlı yapay zeka araçlarını kullanırken birden fazla kaynağı kontrol edip tekrar kontrol etmenin önemli olduğunu göstermektedir.
Python paketi “lr-utils-lib”, Google Cloud kimlik bilgilerini çalabilen macOS kullanıcılarına yönelik hedefli bir saldırıyı ortaya çıkarıyor. Bu nedenle, üçüncü taraf paketlerle çalışırken, güvenlikleri konusunda çok dikkatli olmak gerekir.
Bu olay, sahte LinkedIn profili ve birbiriyle uyuşmayan yapay zeka arama motoru doğrulayıcıları gibi bundan kaynaklanabilecek daha geniş siber güvenlik sorunlarını daha da büyütüyor.
Yazılım geliştirme ve bilgi arama teknikleri, bu nedenle titiz inceleme süreçleri, çok kaynaklı doğrulama ve eleştirel düşünme yoluyla kapsamlı bir inceleme gerektirir.
Bu tür saldırılar bireysel geliştiricileri hedef alarak başlayabilir, ancak kurumsal güvenlik üzerinde veri ihlallerine ve itibarların zedelenmesine yol açabilecek geniş kapsamlı etkilere sahiptir.
IOC’ler
- avrupa-batı2-işyükü-422915[.]bulutfonksiyonları[.]açık
- berrak[.]zirveler[.]0j@icloud[.]com
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo