Python Paket Dizini (PyPI) deposundaki kötü amaçlı bir Python paketinin, Unicode’u tespitten kaçmak ve bilgi çalan bir kötü amaçlı yazılım dağıtmak için bir hile olarak kullandığı bulundu.
Onyxproxy adlı söz konusu paket, 15 Mart 2023’te PyPI’ye yüklendi ve kimlik bilgilerini ve diğer değerli verileri toplama ve sızdırma yetenekleriyle birlikte geliyor. O zamandan beri kaldırıldı, ancak daha önce toplam 183 indirme çekmedi.
Yazılım tedarik zinciri güvenlik firması Phylum’a göre paket, kötü niyetli davranışını, görünüşte meşru görünen binlerce kod dizisiyle dolu bir kurulum komut dosyasında birleştiriyor.
Bu dizeler, kalın ve italik yazı tiplerinin bir karışımını içerir ve yine de okunabilir ve Python yorumlayıcısı tarafından yalnızca paketin yüklenmesinin ardından hırsız kötü amaçlı yazılımın yürütülmesini etkinleştirmek için ayrıştırılabilir.
Şirket, “Bu garip planın bariz ve acil bir faydası okunabilirliktir” dedi. “Ayrıca, bu görünür farklılıklar kodun çalışmasını engellemiyor, ki öyle.”
Bu, zararsız görünen işlevler ve değişkenler arasında gerçek renklerini (örn. self ve ) kamufle etmek için aynı karakter (aka homoglifler) gibi görünen Unicode varyantlarının kullanılması sayesinde mümkün olmuştur.
Kaynak koduna güvenlik açıkları eklemek için Unicode kullanımı daha önce Cambridge Üniversitesi araştırmacıları Nicholas Boucher ve Ross Anderson tarafından Trojan Source adlı bir saldırı tekniğinde ortaya çıkmıştı.
Yöntemin gelişmişlik açısından eksikliğini, diğer kaynaklardan kopyala-yapıştır çabalarının belirgin belirtilerini göstermesine rağmen, yeni bir karmaşık kod parçası oluşturarak telafi ediyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Geliştirme, “Python yorumlayıcısının kötü amaçlı yazılımlarını gizlemek için Unicode’u nasıl kullandığından” yararlanarak, dize eşleştirme tabanlı savunmaları aşmanın yeni yollarını bulmak için tehdit aktörlerinin devam eden girişimlerini vurguluyor.
İlgili bir notta, Kanadalı siber güvenlik şirketi PyUp, kümülatif olarak 1.000’den fazla kez indirilen ve uzak bir sunucudan gizlenmiş kodu almak için tasarlanmış üç yeni sahte Python paketinin (aiotoolbox, asyncio-proxy ve pycolorz) keşfini ayrıntılı olarak açıkladı.