Siber güvenlik araştırmacıları, Tiktok ve Instagram API’lerine karşı çalınan e -posta adreslerini doğrulamak için denetleyici araçlar olarak hareket eden Python Paket Dizin (PYPI) deposuna yüklenen kötü amaçlı paketleri ortaya çıkardılar.
Her üç paket de PYPI’da mevcut değil. Python paketlerinin adları aşağıdadır –
- Checker-Sagaf (2.605 indirme)
- Steinlurks (1.049 indirme)
- Sinnercore (3.300 indirme)
Soket araştırmacısı Olivia Brown, geçen hafta yayınlanan bir analizde, “Adına göre, dama-sagaf bir e-postanın bir tiktok hesabı ve bir Instagram hesabı ile ilişkili olup olmadığını kontrol ediyor.” Dedi.
Özellikle, paket, giriş olarak geçirilen bir e -posta adresinin geçerli olup olmadığını belirlemek için Tiktok’un Parola Kurtarma API’sine ve Instagram’ın Hesap Oturum Açma Noktalarına HTTP Post istekleri göndermek üzere tasarlanmıştır, yani bu e -posta adresine karşılık gelen bir hesap sahibinin bulunması vardır.
Brown, “Tehdit aktörleri bu bilgilere sahip olduktan sonra, sadece bir e -posta adresinden, DOX veya spam ile tehdit edebilir, hesapları askıya almak için sahte rapor saldırıları yapabilir veya bir kimlik bilgisi doldurma veya şifre püskürtme istismarını başlatmadan önce hedef hesapları onaylayabilirler.” Dedi.
“Doğrulanmış kullanıcı listeleri de kar için Karanlık Web’de satılır. Aktif e-postaların sözlüklerini oluşturmak zararsız görünebilir, ancak bu bilgiler tüm saldırı zincirlerini etkinleştirir ve hızlandırır ve yalnızca bilinen-valid hesapları hedefleyerek tespiti en aza indirir.”
İkinci paket “Steinlurks”, benzer bir şekilde, tespit etmek için Instagram Android uygulamasını taklit eden sahte HTTP Post istekleri göndererek Instagram hesaplarını hedefliyor. Bunu farklı API uç noktalarını hedefleyerek elde eder –
- I.Instagram[.]com/api/v1/kullanıcılar/arama/
- I.Instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- I.Instagram[.]com/api/v1/hesaplar/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/hesaplar/check_email/
“Sinnercore” ise, belirli bir kullanıcı adı için unutulmuş şifre akışını tetiklemeyi, API uç noktasını hedefliyor “Biinstagram[.]Com/API/V1/Hesaplar/Send_password_reset/”hedefin kullanıcı adını içeren sahte HTTP istekleriyle.
Brown, “Telegram’ı hedefleyen işlevsellik, yani ad, kullanıcı kimliği, biyografi ve premium durumun yanı sıra diğer özellikleri de çıkarıyor.”
“SinnerCore’un bazı kısımları, gerçek zamanlı binans fiyatı veya para birimi dönüşümleri almak gibi kripto programlarına odaklanıyor. Hatta PYPI programcılarını, muhtemelen sahte geliştirici profilleri için kullanılan veya geliştiriciler gibi davranan herhangi bir PYPI paketine ayrıntılı bilgi getirerek hedefliyor.”
İfşa, tersine dönme teminatlarının, “DBGPKG” adlı başka bir kötü niyetli paketin bir hata ayıklama yardımcı programı olarak maskelenen, ancak kod yürütme ve veri ortaya çıkmasını kolaylaştırmak için geliştiricinin sistemine bir arka kapı impat eden başka bir kötü niyetli paketini detaylandırması nedeniyle gelir. Pakete artık erişilemeyecek olsa da, yaklaşık 350 kez indirildiği tahmin ediliyor.
İlginç bir şekilde, söz konusu paketin, bu ayın başlarında soket tarafından işaretlenen “Discordpydebug” a gömülü olanla aynı yükü içerdiği bulunmuştur. ReversingLabs, aynı kampanyanın bir parçası olduğuna inanılan “RequestSdev” adlı üçüncü bir paket belirlediğini söyledi. Çekilmeden önce 76 indirme çekti.
Daha ileri analizler, paketin GSocket kullanan arka kapı tekniğinin, 2022’nin başlarında Russo-Ukrayna savaşının ardından doktor Web de dahil olmak üzere Rus varlıklarını hedeflemekle bilinen bir hacktivist grup olan Phoenix Handen (Dumpforums veya Silent Crow) ‘nınkine benzediğini belirledi.
Atıf en iyi ihtimalle belirsiz olsa da, ReversingLabs, etkinliğin bir taklitçi tehdit oyuncusunun işi olabileceğine dikkat çekti. Bununla birlikte, aynı yüklerin kullanımı ve “Discordpydebug” ın ilk olarak Mart 2022’de yüklenmesi, Phoenix Handen ile olası bir bağlantı için davayı güçlendirir.
Güvenlik araştırmacısı Karlo Zanki, “Bu kampanyada kullanılan, belirli bir arka kapı implantı türü ve Python fonksiyon sarma kullanımı da dahil olmak üzere kötü niyetli teknikler, arkasındaki tehdit aktörünün tespit edilmesini önlemek için sofistike ve çok dikkatli olduğunu gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Fonksiyon sarma ve küresel soket araç seti gibi araçların kullanımı, arkasındaki tehdit aktörlerinin de fark edilmeden tehlikeye atılan sistemlerde uzun vadeli varlık oluşturmak istediğini gösteriyor.”
Bulgular ayrıca, Koishi çerçevesi tarafından desteklenen sohbet botlarına bir veri ekspiltrasyon arka kapısı yükleyen “Koishi – Plugin – Pinhaofa” adlı kötü niyetli bir NPM paketinin keşfine denk geliyor. Paket artık NPM’den indirilebilir.
Güvenlik araştırmacısı Kirill Boychenko, “Yazım – otomatik bir yardımcı olarak pazarlanan eklenti, her mesajı sekiz karakterli bir onaltılık dize için tarar.” Dedi. “Birini bulduğunda, potansiyel olarak gömülü sırlar veya kimlik bilgileri dahil olmak üzere tam mesajı sabit kodlu bir QQ hesabına iletir.”
“Sekiz karakter altıgen, genellikle kısa Git taahhütü karma, kesik jwt veya API jetonları, CRC – 32 sağlama toplamları, kılavuz kurşun segmentleri veya her biri daha geniş sistemlerin kilidini açabilen veya iç varlıkları haritalayabilen cihaz seri numaralarını temsil eder. Tehdit aktörünü hasat ederek, aynı zamanda çevreleyen sırlar, şifreler, kimlikler, kimlikler, kimlikler ve ids.