“dsfsdfds” tarafından PyPI’ye yüklenen kötü amaçlı Python paketleri, hassas verileri büyük ihtimalle Iraklı siber suçlularla bağlantılı olan bir Telegram botuna sızdırarak kullanıcı sistemlerine sızdı.
2022’den beri faaliyette olan ve 90 binden fazla Arapça mesaj barındıran platform, hem bir komuta-kontrol merkezi hem de sosyal medya manipülasyon araçları için yeraltı pazar yeri işlevi görüyor.
Siber suçların daha geniş bir ağda yer aldığını vurgulayarak, siber güvenlik toplulukları içinde derinlemesine soruşturma ve iş birliğinin gerekliliğini vurguluyor.
Kötü amaçlı bir betik, kurbanın dosya sistemini, özellikle kök dizini ve DCIM klasörünü tarayarak .py, .php, .zip, .png, .jpg ve .jpeg gibi uzantılara sahip dosyaları hedef alıyor.
Betik bulunduğunda, kullanıcı farkında olmadan hem dosya yollarını hem de gerçek verileri (dosyalar ve fotoğraflar) saldırganın Telegram botuna iletir. Bu, betik içindeki sabit kodlanmış bir Telegram bot belirteci ve sohbet kimliği aracılığıyla gerçekleştirilir ve saldırganın altyapı ayrıntılarını ortaya çıkarır.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Python Paketleri Veri Sızdırma
Sızdırılan verilerin analizi sonucunda saldırganların kullandığı bir Telegram botuna ait sabit kodlu kimlik bilgileri ortaya çıktı.
Bu kimlik bilgilerini kullanan araştırmacılar bota doğrudan erişim sağladılar ve en az 2022’ye kadar uzanan önemli bir aktivite geçmişini gözlemlediler.
Mesajlar, çoğunlukla Arapçaydı ve bot operatörünün konumu ve operasyonları hakkında ipuçları sağlıyordu. Araştırmacılar, GitHub’ın TeleTracker gibi araçlarıyla mesaj dilini ve içeriğini analiz ederek operatörün muhtemelen Irak’ta bulunduğunu tespit ettiler.
Botun faaliyetleri, aynı aktör tarafından kontrol edilen bir bot ağının parçası olduğunu düşündürüyor.
Başlangıçta bot, görüntüleme ve takipçi gibi sosyal medya etkileşim metrikleri satın alma, spam hizmetleri ve Netflix gibi yayın platformlarına indirimli abonelikler gibi çeşitli yasa dışı hizmetler sunan bir yeraltı pazar yeri olarak işlev görüyordu.
Kötü amaçlı bir Python paketine yönelik yapılan incelemede gizli bir Telegram botu ortaya çıkarılırken, botun mesaj geçmişinin daha detaylı analizi daha geniş kapsamlı bir siber suç operasyonunun kanıtlarını ortaya çıkardı.
Mesajlarda finansal hırsızlığa işaret ediliyor ve güvenliği ihlal edilmiş sistemlerden geliyormuş gibi görünüyor. Bu durum, paketlerin başarılı bir ilk saldırı vektörü olduğunu ve siber güvenliğe ilişkin derinlemesine bir soruşturmanın gerekliliğini ortaya koyuyor.
Gerçekte, izole edilmiş gibi görünen kötü amaçlı paketler, aslında Telegram tabanlı, daha karmaşık bir suç şebekesinin giriş noktası olarak hizmet ediyordu.
Checkmarx’taki araştırmacılar, kullanıcı verilerini bir Telegram botuna sızdıran PyPI’daki kötü amaçlı Python paketlerini ortaya çıkardı. Bu, daha büyük bir Irak siber suçlu ağını açığa çıkardı ve tehlikeye atılmış bir geliştirici makinesinin tehlikelerini vurguladı.
Kurumsal bir ortamda, böyle bir ihlal, saldırganlara kuruluşun ağı içinde daha fazla saldırı başlatmak için ilk adımı atma fırsatı sağlayabilir.
PyPI deposunu istismar ederek şüphelenmeyen sistemlere yüklenerek kötü amaçlı olarak tanımlanabilecek testbrojct2, proxyfullscraper, proxyalhttp ve proxyfullscrapers adlı dört Python paketinden kaçının.
Kurulduktan sonra, Python komut dosyaları, resimler ve sıkıştırılmış arşivler gibi potansiyel olarak hassas dosyalar da dahil olmak üzere dosyaları topluyorlar ve çalınan veriler daha sonra siber suçlular tarafından kontrol edilen bir Telegram botuna gönderiliyor. Bu da suçluların amaçlarına bağlı olarak sistemi çeşitli tehditlere maruz bırakıyor; bunlara finansal dolandırıcılık veya daha fazla sistem ihlali dahil olabilir.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo