FortiGuard Labs’ın son araştırma raporu endişe verici bir eğilimi ortaya koyuyor: Tehdit aktörleri, kötü amaçlı yazılım bulaşmış paketleri yüklemek için Python tarafından geliştirilen yazılım paketleri için açık bir depo olan Python Paket Dizini’nden (PyPI) yararlanıyor. PyPI altyapısının bu şekilde kullanılması kullanıcılar için önemli riskler oluşturmaktadır.
FortiGuard Labs ekibi kısa süre önce PyPI kötü amaçlı yazılım yazarı “WS”nin PyPI’ye kötü amaçlı paketler yüklediğini tespit etti ve 2000’den fazla potansiyel kurban olduğunu tahmin etti. Nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends ve TestLibs111 dahil olmak üzere belirlenen paketler, Checkmarx’ın 2023’te belirlediği saldırılara benzeyen saldırı metodolojileri gösteriyor.
Bu paketler, kurbanın işletim sistemine bağlı olarak yürütülen base64 kodlu Python komut dosyalarını içerir. Paketler, Windows cihazlarına Whitesnake PE kötü amaçlı yazılımını veya Linux cihazlarından bilgi çalmak için bir Python betiğini dağıtıyor.
Bu şemada ilginç olan şey, Python komut dosyalarının çalıntı verileri iletmek için tek bir sabit URL yerine hedef olarak bir dizi IP adresi kullanarak yeni bir yöntem kullanmasıdır. Bu, bir sunucu arızalandığında bile başarılı veri iletiminin sağlanmasına yardımcı olur.
Yakın zamanda tanımlanan paketler öncelikle Windows kullanıcılarını hedef alırken, daha önceki paketler hem Linux hem de Windows kullanıcılarını hedef alıyordu. Amaç mağdurlardan hassas bilgileri sızdırmaktır.
Whitesnake PE yükü, PyInstaller aracı kullanılarak oluşturulan, Python ile derlenmiş bir yürütülebilir dosyadır ve tamamlanmamış bir ‘main.pyc’ komut dosyasını ve başka bir ‘addresses.py’ dosyasını görüntüler. Bu oldukça şüpheli. ‘Main.pyc’, otomatik çalıştırma için kendisini Windows başlangıç klasörüne kopyalayan, mantıksal sürücüleri araştıran ve çalışan örneklerin sayısını izleyen gizli bir koddur.
Ayrıca pano içeriğini alır ve bunları önceden tanımlanmış kripto para birimi adres modelleriyle karşılaştırır, ‘adresler.py’deki karşılık gelen adresleri panonun üzerine yazmasını sağlayarak, potansiyel olarak kurbanları kripto para birimi işlemlerini beklenmedik bir hedefe yönlendirme konusunda aldatır.
Şifrelenmiş bir.NET yürütülebilir dosyası olan yük, kurulumun hemen ardından görünmez bir pencere başlatır ve kendisini Windows Defender’ın dışlama listesine ekler. Daha sonra, güvenliği ihlal edilen cihazda her saat başı çalıştırılacak zamanlanmış bir görev oluşturur. Görev, kötü amaçlı bir IP’yi “socket.io” kullanarak bir istemciye bağlar ve IP adresi ve ana bilgisayar kimlik bilgileri dahil olmak üzere hassas kullanıcı verilerini toplar.
Yük, cüzdan ve tarayıcı verilerini yakalar ve saldırganın çıkarıp sızdırdığı birden fazla şifreleme katmanına sahip bir.zip dosyası olarak uzak bir sunucu aracılığıyla şüpheli bir IP adresine gönderir. Hata ayıklama, kripto para birimi hizmetleri, uygulamalar ve tarayıcılar gibi çok çeşitli cihazlardan çalınan bilgileri gösteren dizeleri ortaya çıkardı.
Araştırma, tek bir kötü amaçlı yazılım yazarının birden fazla bilgi çalma paketini PyPI kütüphanesine ne kadar kolay dağıtabildiğini ortaya koyuyor ve açık kaynak paketleri kullanırken dikkatli olunması gerektiğini vurguluyor.
“Bilgi çalan kötü amaçlı yazılımlar giderek daha güncel ve acil bir konu haline geliyor. FortiGuard Labs araştırmacıları, bu tür ısrarcı düşmanlara karşı koruma sağlamak, savunmanızı güçlendirmek için stratejik ve ileriyi düşünen bir yaklaşım gerektirir.”
İLGİLİ MAKALELER
- Luna Grabber Kötü Amaçlı Yazılımı, npm Paketleri Aracılığıyla Roblox Geliştiricilerini Etkiliyor
- 6 resmi Python deposu kripto madencilik kötü amaçlı yazılımlarıyla boğuşuyor
- GitHub, Görüntü Dosyalarındaki PyPI Üzerinde Kötü Amaçlı Paketleri Yaymak İçin Kötüye Kullanıldı
- NPM Typosquatting Saldırısı Meşru Paket Aracılığıyla r77 Rootkit’i Dağıtıyor
- FortiGuard Laboratuvarları, Veri Çalan Bir Dizi Kötü Amaçlı NPM Paketini Ortaya Çıkardı