Son zamanlarda güvenlik araştırmacıları, siber suçluların gerçek gizleme araçları gibi kamufle edilen zararlı Python paketleri dağıttıklarını, ancak gerçekte bunların kötü amaçlı kod içerdiğini keşfetti.
Bu paketler, tehdit aktörleri tarafından kötü amaçlı yazılım yaymak ve şüphelenmeyen kurbanlara siber saldırılar başlatmak için kullanılıyor.
Açık kaynak araçları ve paketleri, görevleri önemli ölçüde basitleştirir ve geliştirme süreçlerini hızlandırır.
Kod gizleme muhtemelen hassas ve değerli verileri işleyen geliştiriciler tarafından kullanılıyor. Sonuç olarak, bilgisayar korsanları bunları takip edilmesi arzu edilen hedefler olarak görüyor ve sonuç olarak bu saldırının kurbanları olma olasılıkları yüksek.
Kötü amaçlı paket indirmelerinin çoğu Amerika Birleşik Devletleri’nden geliyor ve ardından Çin, Rusya, İrlanda, Hong Kong, Fransa, Hırvatistan ve İspanya geliyor.
Python Gizleme Tuzakları
Checkmarx araştırmacılarına göre saldırganlar aşağıdaki adlara sahip birkaç paket dağıttı:
- Pyobftoexe
- Pyobfus dosyası
- Pyobfexecute
- Pyobfpremium
- Pyobflit
- Pyobfadvance
- Pyobfuse
- Pyobfgood
Checkmarx araştırmacıları, “İlk bakışta Python kodunu gizlemeye yönelik yararlı araçlar gibi görünen bu paketlerin gizli gündemleri var”.
Saldırganlar, programcıların Python kodlarını gizlemek için kullandıkları “pyobf2” ve “pyobfuscator” gibi yasal paketlere benzer isimleri kasıtlı olarak seçtiler.
Bu türden en yeni paket olan pyobfgood, Ekim 2023’ün sonunda Python ekosisteminde yayınlandı ve yıkıcı bir yüke sahipti.
Getirilen Python kodu incelendikten sonra “BlazeStealer” etiketli kötü amaçlı yazılımın bir Discord botu çalıştırdığı keşfedildi.
Bu bot tetiklendiğinde saldırgana hedefin sistemi üzerinde tam kontrol sağlar ve kurbanın cihazında çeşitli yıkıcı operasyonlar gerçekleştirmesine olanak tanır.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
- Ayrıntılı ana bilgisayar bilgilerini sızdırın
- Chrome web tarayıcısından şifreleri çalmak
- Bir keylogger kurun.
- Kurbanın sisteminden dosyaları indirin.
- Ekran görüntüleri yakalayın ve hem ekranı hem de sesi kaydedin
- CPU kullanımını artırarak, bilgisayarı kapatmak için başlangıç dizinine bir toplu komut dosyası ekleyerek veya bir Python komut dosyasıyla BSOD hatası vermeye zorlayarak bilgisayarı çalışmaz hale getirin
- Potansiyel olarak fidye için dosyaları şifreleyin.
- Windows Defender ve Görev Yöneticisini devre dışı bırakın
- Güvenliği ihlal edilmiş ana bilgisayarda herhangi bir komutu yürütün.
Discord botunun bilgisayarın kamerasını kontrol etmek için özel bir komutu vardır. Bunu, uzak bir sunucudan gizlice bir zip dosyası indirip çıkararak ve ardından WebCamImageSave.exe’yi başlatarak gerçekleştirir.
Bu, botun gizlice fotoğraf çekmek için web kamerasını kullanmasını sağlar. İndirilen dosyaları sildikten sonra oluşturulan görüntü, varlığına dair hiçbir iz bırakmadan Discord kanalına geri gönderilir.
Botun kötü niyetli mizah anlayışı, saldırıya uğrayan makinenin yakında yok edilmesiyle alay eden mesajlarında açıkça görülüyor: “Bilgisayarınız yanmaya başlayacak, iyi şanslar. :)” ve “Bilgisayarınız artık ölecek, onu geri almada iyi şanslar :)”
Bu nedenle, açık kaynaklı yazılım hala yenilik yapmak için harika bir yerdir, ancak onunla çalışırken dikkatli olun. Geliştiricilerin dikkatli olmaları ve tüketimden önce paketleri incelemeleri gerekiyor.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.