Siber güvenlik araştırmacıları, Python Paket Endeksi (PYPI) deposunun kullanıcılarını “zaman” ile ilgili yardımcı programlar olarak maskelenen sahte kütüphanelerle hedefleyen kötü niyetli bir kampanya konusunda uyardı, ancak bulut erişim belirteçleri gibi hassas verileri çalmak için gizli işlevsellik barındırıyor.
Yazılım Tedarik Zinciri Güvenlik Firması ReversingLabs, toplam 20 tanesi paketini keşfettiğini söyledi. Paketler kümülatif olarak 14.100 kez indirildi –
- Snapshot-Photo (2.448 indirme)
- Time-Check-Server (316 indirme)
- Time-Check-Server-Get (178 indirme)
- Time-Server-Analizi (144 indirme)
- Time-Server-Analyzer (74 indirme)
- Time-Server testi (155 indirme)
- Time-Service-Checker (151 indirme)
- aclient-sdk (120 indirme)
- Acloud-Slient (5.496 indirme)
- Acloud Clients (198 İndirme)
- acloud-client-uses (294 indirme)
- Alicloud-Slient (622 indirme)
- Alicloud-Client-SDK (206 indirme)
- AmzClients-SDK (100 indirme)
- Awscloud-Clients-Core (206 indirme)
- Kimlik Bilgisi-Python-SDK (1.155 indirme)
- Enumer-Iam (1.254 indirme)
- Tclients-sdk (173 indirme)
- TCOUD-PYTHON-SDKS (98 indirme)
- Tcloud-Python-Test (793 indirme)
İlk set, tehdit oyuncunun altyapısına veri yüklemek için kullanılan paketlerle ilgili olsa da, ikinci küme Alibaba Cloud, Amazon Web Services ve Tencent Cloud gibi çeşitli hizmetler için bulut istemci işlevlerini uygulayan paketlerden oluşur.
Ancak bulut sırlarını yaymak için “Time” ile ilgili paketler de kullanıyorlar. Belirlenen tüm paketler yazılı olarak PYPI’dan zaten kaldırılmıştır.
Daha ileri analizler, paketlerin üçünün, ACLOUD-Client, Enumer-Iam ve Tcloud-Python-Test’in, 42 kez çatallanan ve 519 kez başlayan AccessKey_tools adlı nispeten popüler bir GitHub projesinin bağımlılıkları olarak listelendiğini ortaya koymuştur.
8 Kasım 2023’te TCLOUD-PYTHON-TEST’e atıfta bulunan bir kaynak kodu taahhüdü, paketin o zamandan beri PYPI’da indirilebileceğini gösteren bir kaynak kodu yapıldı. Paket, Pepy.tech’in istatistiklerine göre 793 kez indirildi.
Açıklama, Fortinet Fordiguard Labs’ın PYPI ve NPM’de binlerce paket keşfettiğini söylediği gibi geliyor, bazıları kurulum sırasında kötü amaçlı kod dağıtmak veya harici sunucularla iletişim kurmak için tasarlanmış şüpheli kurulum komut dosyalarını gömdü.
Jenna Wang, “Şüpheli URL’ler, genellikle ek yükler indirmek veya komut ve kontrol (C&C) sunucuları ile iletişim kurmak için kullanıldıkları için, saldırganlara enfekte sistemler üzerinde kontrol sağladıkları için potansiyel olarak kötü niyetli paketlerin temel bir göstergesidir.” Dedi.
“974 pakette, bu tür URL’ler veri açığa çıkma, daha fazla kötü amaçlı yazılım indirme ve diğer kötü amaçlı işlem riski ile bağlantılıdır. Sömürü önlemek için paket bağımlılıklarındaki harici URL’leri incelemek ve izlemek çok önemlidir.”