Veri eksfiltrasyonu ve uzaktan komut yürütme için Gmail’in SMTP sunucuları ve WebSockets kullanılarak yedi kötü niyetli PYPI paketi bulundu.
Paketler, bulgularını PYPI’ye bildiren ve paketlerin kaldırılmasına neden olan Socket’in tehdit araştırma ekibi tarafından keşfedildi.
Bununla birlikte, bu paketlerin bazıları dört yıldan fazla bir süredir PYPI’daydı ve üçüncü taraf indirme sayaçlarına dayanarak, biri 18.000’den fazla indirildi.
İşte soket tarafından paylaşılan tam liste:
- Coffin-Codes-Pro (9.000 indirme)
- Coffin-Codes-Net2 (6.200 indirme)
- Tabut kodu-net (6.100 indirme)
- Coffin-Codes-2022 (18.100 indirme)
- Coffin2022 (6.500 indirme)
- Tabut mezarı (6.500 indirme)
- CFC-BSB (2.900 indirme)
‘Tabut’ paketleri, Jinja2 şablonlarını Django projelerine entegre etmek için hafif bir adaptör görevi gören meşru tabut paketini taklit ediyor gibi görünüyor.
Bu paketlerde keşfedilen kötü niyetli işlevsellik soketi, Gmail aracılığıyla gizli uzaktan erişim ve veri sızıntısı üzerine merkezlenir.
Paketler, hizmetin SMTP sunucusuna (smpt.gmail.com) oturum açmak için sabit kodlu Gmail kimlik bilgilerini kullandı ve saldırganın uzlaşmış sisteme uzaktan erişmesine izin vermek için keşif bilgileri gönderdi.
Gmail güvenilir bir hizmet olduğundan, güvenlik duvarları ve EDR’lerin bu etkinliği şüpheli olarak işaretlemesi olası değildir.
E -posta sinyal aşamasından sonra implant, SSL üzerinden WebSocket kullanarak uzak bir sunucuya bağlanır ve ana bilgisayardan saldırgana kalıcı, şifreli, çift yönlü bir tünel oluşturmak için tünel yapılandırma talimatları alır.
‘İstemci’ sınıfını kullanarak, kötü amaçlı yazılım, uzak ana bilgisayardan yerel sisteme tünel aracılığıyla trafiği ileterek dahili yönetici paneli ve API erişimi, dosya aktarımı, e -posta eksfiltrasyonu, kabuk komutu yürütme, kimlik bilgileri hasadı ve yanal harekete izin verir.
Soket, kullanılan e -posta adreslerinde (örneğin, [email protected]) görülen bu paketler için potansiyel kripto para birimi hırsızlığı niyetinin güçlü göstergelerini vurgular ve benzer taktikler geçmişte Solana özel anahtarlarını çalmak için kullanılmıştır.
Bu paketlerden herhangi birini ortamınıza yüklediyseniz, bunları hemen kaldırın ve gerektiğinde anahtarları ve kimlik bilgilerini döndürün.
Sonatype araştırmacısı ve diğer BleepingComputer muhabiri Axe Sharma tarafından neredeyse aynı anda yayınlanan ilgili bir rapor, NPM’de bulunan ‘Crypto-Incrypt-ts’ adlı bir kripto-açılış paketine odaklanıyor.
Paket, kripto para birimi cüzdanı sırlarını ve çevre değişkenlerini bir tehdit aktör kontrollü daha iyi yığın uç noktasına eklerken, popüler ama şimdi sürekli olmayan ‘Cryptojs’ kütüphanesinin bir yazı tipi versiyonu olarak maskeleniyor.
Enfekte sistemlerde Cron Jobs aracılığıyla devam eden kötü niyetli paket, sadece özel anahtarlarını kapmaya çalışan, 1.000 birimi aşan bakiyelerle cüzdanları hedefliyor.
Paket, rapor edilmeden önce yaklaşık 2.000 kez indirildi ve NPM’den kaldırıldı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.