Siber güvenlik araştırmacıları, popüler istek kitaplığının bir uzantısı olduğu iddia edilen kötü amaçlı bir Python paketi belirlediler ve Sliver komuta ve kontrol (C2) çerçevesinin Golang sürümünü projenin logosunun PNG görüntüsü içinde gizlediği tespit edildi.
Bu steganografik hileyi kullanan paket, Python Paket Dizini (PyPI) kayıt defterinden kaldırılmadan önce 417 kez indirilen request-darwin-lite paketidir.
requests-darwin-lite “birkaç önemli farkla birlikte, sürekli popüler olan istek paketinin bir çatalı gibi göründü; en önemlisi, gerçek istekler kenar çubuğu PNG logosunun büyük bir sürümüne paketlenmiş kötü amaçlı bir Go ikili dosyasının dahil edilmesi.” Tedarik zinciri güvenlik firması Phylum, şunları söyledi.
Değişiklikler, sistemin Evrensel Benzersiz Tanımlayıcısını (UUID) toplamak için Base64 kodlu bir komutun kodunu çözecek ve yürütecek şekilde yapılandırılmış olan paketin setup.py dosyasında uygulandı.
İlginç bir şekilde, enfeksiyon zinciri yalnızca tanımlayıcı belirli bir değerle eşleştiğinde ilerler; bu, paketin arkasındaki yazar(lar)ın, başka bir yöntemle elde edilen tanımlayıcıya zaten sahip oldukları belirli bir makineyi ihlal etmeye çalıştıklarını ima eder. araç.
Bu iki olasılığı gündeme getiriyor: Ya hedefi yüksek bir saldırı, ya da daha geniş bir kampanya öncesinde bir tür test süreci.
UUID’nin eşleşmesi durumunda, request-darwin-lite, “requests-sidebar-large.png” adlı ve “requests-sidebar.png” adlı benzer bir dosyayla birlikte gönderilen yasal istekler paketiyle benzerlikler taşıyan bir PNG dosyasından veri okumaya devam eder. png’dir.”
Burada farklı olan, request’lerin içine yerleştirilmiş gerçek logonun dosya boyutu 300 kB iken, request-darwin-lite’ın içindekinin ise 17 MB civarında olmasıdır.
PNG görüntüsünde gizlenen ikili veriler, güvenlik profesyonellerinin kırmızı ekip operasyonlarında kullanılmak üzere tasarlanmış açık kaynaklı bir C2 çerçevesi olan Golang tabanlı Sliver’dır.
Paketin kesin nihai hedefi şu anda belirsiz ancak bu gelişme bir kez daha açık kaynaklı ekosistemlerin kötü amaçlı yazılım dağıtmak için çekici bir vektör olmaya devam ettiğinin bir işareti.
Açık kaynak koduna dayanan kod tabanlarının büyük bir çoğunluğu ile, kötü amaçlı yazılımların npm, PyPI ve diğer paket kayıtlarına sürekli akışı, son XZ Utils olayının yanı sıra, sorunların sistematik bir şekilde ele alınması ihtiyacını vurguladı. “ağın geniş alanlarını raydan çıkarabilir.”