Tehdit aktörleri, sistemlere sızmak ve veri hırsızlığı, fidye yazılımı dağıtımı veya sistemin tehlikeye atılması gibi çeşitli saldırıları gerçekleştirmek için kötü amaçlı PyPI paketleri kullanır.
Tüm bu paketler meşru Python kütüphaneleri gibi davranarak güvenlik önlemlerini kolaylıkla atlayabilir.
Bu, şüphelenmeyen kullanıcıların ortamlarına bulaşmasına ve potansiyel olarak geniş çapta hasara neden olmasına olanak tanır.
ReversingLabs'taki siber güvenlik araştırmacıları yakın zamanda kripto cüzdan şifrelerini çalabilecek yeni kötü amaçlı PyPI paketleri keşfetti.
Yeni Kötü Amaçlı PyPI Paketleri
ReversingLabs, PyPI'de yedi açık kaynak paketini kapsayan ve en eskisi Aralık 2022'ye kadar uzanan 19 varyantlı kötü amaçlı bir planı ortaya çıkardı.
Bu 'BIPClip' kampanyası, 3CX'in uzlaşması gibi önceki tedarik zinciri saldırılarının saflarına katılarak kripto cüzdan kurtarmaya yönelik yararlı ifadeleri çalmayı amaçlıyor.
Kripto para birimi imrenilen bir hedef olmaya devam ediyor ve tehdit aktörleri, tespit edilmekten kaçınmak için kötü niyetli bağımlılıklar ve isim işgali gibi aldatıcı taktikler kullanıyor.
RL araştırma ekibi, gizli kalarak kripto cüzdan ifadelerini çalmayı amaçlayan 7 yeni kötü amaçlı PyPI paketi buldu.
Bu kampanya, kripto para cüzdanlarıyla ilgilenen geliştiricileri, özellikle de hatırlanması kolay cüzdan oluşturmak için BIP39'u kullananları hedefliyor. BIP39, anımsatıcı ifadelerle tohum oluşturmayı basitleştirerek cüzdan sahipleri için hatırlamayı artırır.
Kripto altyapısı ve varlıkları, Ledger Connect Kit'in ihlali yönlendirme işlemlerinden Python kitaplıklarındaki gizli kripto madencilerine ve kriptoyla ilgili kötü amaçlı npm paketlerine kadar tedarik zinciri saldırılarının ana hedefleri olmaya devam ediyor.
İddiaya göre, Kuzey Koreli tehdit aktörleri beş yıl içinde 3 milyar dolara kadar kripto para çaldı; Bu onların GSYH'larının %5'i gibi şaşırtıcı bir rakam.
ReversingLabs, kripto cüzdan verilerini çalmak için işbirliği yapan mnemonic_to_address ve bip39_mnemonic_decrypt adlı iki PyPI paketi buldu.
Bip39_mnemonic_decrypt, Base64 kod çözme ve ağ kullanımıyla ilgili şüpheleri artırdı. Ayrıca bu ileri araştırma, mnemonic_to_address'in görünüşte “temiz” bir paket olduğunu ve bip39_mnemonic_decrypt'in gizli bir kötü amaçlı bağımlılık olduğunu ortaya çıkardı.
mnemonic_to_address paketi, işlev çağrıları için sarmalayıcı görevi görür. Ancak, eth-account paketinde bulunmayan bir işlev olan decrypt_jsBIP39'un kullanılmasıyla biraz farklılık gösterir.
Bu işlev, mnemonic_to_address paketinin kullanıcının anımsatıcı parolasını argüman olarak ilettiği bip39_mnemonic_decrypt modülünden içe aktarılır.
Bip39_mnemonic_decrypt paketi kampanyadaki ikinci pakettir ve mnemonic_to_address'e bağımlıdır.
ReversingLabs, içinde açıkça kötü amaçlı işlevsellik olduğunu keşfetti. Her iki paket de, kötü amaçlı kampanyalarda yaygın bir taktik olan, yeni oluşturulan bir PyPI bakımcı hesabı olan james_pycode tarafından yayınlandı.
Hesap, güvenilirlik oluşturmak için minimum çaba gösterdi. Gelişmiş saldırganlar genellikle açık kaynak kodlu depolardaki resmi sayfaları taklit etmek için kaynaklara yatırım yapar.
Tehdit aktörleri, kötü amaçlı kodları açık kaynak paketlerinde gizlice gizler. Kod denetimleri sırasında tespit edilmekten kaçınmak için kötü amaçlı yazılımları bağımlılıkların derinliklerine gizlediler.
“decrypt_jsBIP39” ve “cli_keccak256” gibi sahte işlev adları, kötü niyetli eylemleri gizledi. Kötü amaçlı yazılım, kripto cüzdan tohumlarını gizlice sızdırdı ve bunları “lisans” verileri olarak kodladı.
Kapsamı sınırlı olsa da bu tedarik zinciri saldırısı, geliştiricilerin açık kaynak kitaplıklara olan güvenini istismar etti. Üçüncü taraf kodlarının ve güvenlik değerlendirmelerinin incelenmesinde dikkatli olmak, bu tür tehditlerin kazançlı kripto ekosistemini hedeflemesini önlemek için çok önemlidir.
IOC'ler
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.