“Discord Py Hata Logger” kisvesi altında Python Paket Dizini’nde (PYPI) ‘Discordpydebug’ adlı görünüşte zararsız bir python paketi ortaya çıktı.
Discord.py kütüphanesi ile Discord Bots üzerinde çalışan geliştiriciler için bir hata ayıklama yardımcı programı olarak pazarlanan bu paket zararsız bir şey değildi.
İyi huylu cephesinin altında, geliştirici sistemlerini tehlikeye atmak için tasarlanmış tamamen işlevsel bir uzaktan erişim Trojan (sıçan) yatıyordu.
.png
)
Kötü niyetli doğası ortaya çıkmadan önce 11.000’den fazla indirme ile bu paket, indie geliştiricilere, otomasyon mühendislerine ve ciddi risk altındaki küçük ekiplere ait binlerce sistem yerleştirdi.
Olay, PYPI gibi açık kaynaklı ekosistemlerdeki, titiz güvenlik denetimlerinin olmamasının, saldırganların aldatıcı paket isimleri ve açıklamaları ile güvenden yararlanmasına izin verdiği güvenlik açıklarının altını çiziyor.
Pypi ekosistem BOT geliştiricilerini hedefler
‘Discordpydebug’ paketi,% 25’i üçüncü taraf uygulamalarla etkileşime giren aylık 200 milyondan fazla aktif kullanıcıya sahip büyük bir ekosistem olan Canlı Discord geliştirici topluluğunu özellikle hedefledi.
Discord’un, kamu ve özel sunucularda gayri resmi kod paylaşımı ve gerçek zamanlı işbirliği ile karakterize edilen sıkı bir şekilde örgü kültürü, sosyal mühendislik için verimli bir zemin haline geldi.
Tehdit aktörleri muhtemelen paketi gündelik öneriler, hedeflenen doğrudan mesajlar veya sunucu iş parçacıkları aracılığıyla tanıttı ve topluluğun evlat edinmeyi sağlamak için doğal güvenini kullandı.
Bir okuma veya belge eksikliği, indirmeleri caydırmak için çok az şey yaptı ve kötü amaçlı araçların veterinerin minimum olduğu ortamlarda ne kadar hızlı bir şekilde çoğalabileceğini vurguladı.
Yüklendikten sonra, paket, ‘backstabProtection.jamesx123.repl.co’ adresinde barındırılan bir komut ve kontrol (C2) sunucusu ile teması başlattı ve enfekte ana bilgisayarın benzersiz bir tanımlayıcı kullanarak sessizce kaydedildi.
Soket raporuna göre, bu giden yoklama mekanizması, gevşek kontrol ve güvenlik izleme araçlarının çoğunun kaçınmasına izin verdi, bu da gevşek kontrolleri olan geliştirme ortamlarında etkili bir taktik.
Arka Kapı Toplum Güvenini İstismar
Kötü amaçlı yazılımların temel işlevselliği, ‘DEBUG ()’ işlevinde, talimatlar için her saniyede C2 sunucusunu kontrol eden sürekli bir yoklama döngüsü tarafından yönlendirildi.
Standart JSON işlemlerini kullanarak dosyaları okuyabilir ve yazabilir, belirteçler ve kimlik bilgileri gibi hassas verilere erişebilir veya kritik yapılandırmaları değiştirebilir.
Daha endişe verici bir şekilde, ‘runcommand ()’ işlevi aracılığıyla, Python’un alt işlem modülü aracılığıyla keyfi kabuk komutları yürüttü ve sadece çalışma sürecinin ayrıcalıkları ile sınırlı saldırganlara ana sistem üzerinde toplam kontrol sağladı.
Potansiyel etki, yetkisiz dosya erişiminden ve veri eklemesinden uzaktan kod yürütmeye ve ağlardaki yanal harekete kadar değişmektedir.
Bu işlemlerden elde edilen çıkışlar kodlandı ve saldırgana geri döndü ve enfekte edilmiş makineleri uzaktan kontrol edilen düğümlere dönüştürdü.
Kalıcılık veya ayrıcalık yükselme mekanizmalarından yoksun olsa da, sadeliği ve gizliliği onu güçlü bir tehdit haline getirerek, geleneksel savunmaları atladı ve açık kaynaklı işbirliğini körükleyen güvenden yararlandı.
Geliştiriciler, bu tür tehditleri erken tespit etmek için kurulumdan önce paketleri incelemeleri ve güvenlik araçlarından yararlanmaları istenir, çünkü bu saldırılar PYPI gibi ekosistemlerin yıkıcı hassasiyetle doğal açıklığından yararlanır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Detaylar |
|---|---|
| C2 Alanı | backstabprotection.jamesx123.repl.co |
| İlişkili IP | Değişir (Replit barındırılmış alan; dinamik IPS) |
| URL uç noktaları | hxxps: // backstabprotection[.]Jamesx123[.]yerine geçmek[.]CO/ hxxps: // backstabprotection[.]Jamesx123[.]yerine geçmek[.]CO/Çıktı |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir