Devam eden kötü amaçlı yazılım tedarik zinciri kampanyasının bir parçası olarak Paket Dizini (PyPI) deposunda üç ek kötü amaçlı Python paketi keşfedildi. VMConnectKuzey Kore devleti destekli tehdit aktörlerinin olaya karıştığı yönünde işaretler var.
Bulgular, tablediter, request-plus ve requestpro paketlerini tespit eden ReversingLabs’tan geliyor.
İlk olarak şirket ve Sonatype tarafından ayın başında açıklanan VMConnect, bilinmeyen bir ikinci aşama kötü amaçlı yazılımı indirmek için popüler açık kaynaklı Python araçlarını taklit eden bir Python paketleri koleksiyonunu ifade ediyor.
En son dilim de farklı değil; ReversingLabs, kötü aktörlerin paketlerini gizlediklerini ve Prettytable ve istekleri taklit etmek ve geliştiricilerin kafasını karıştırmak için yazım hatası tekniklerini kullanarak onları güvenilir görünmelerini sağladıklarını belirtiyor.
Tablediter’ın içindeki hain kod, uzak bir sunucunun Base64 kodlu bir veriyi almak ve yürütmek için periyodik olarak yoklandığı sonsuz bir yürütme döngüsünde çalışacak şekilde tasarlanmıştır. Yükün kesin niteliği şu anda bilinmiyor.
Tablediter’da getirilen ana değişikliklerden biri, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için artık kötü amaçlı kodu paketin kurulumundan hemen sonra tetiklememesidir.
Güvenlik araştırmacısı Karlo Zanki, “Belirlenen paketin içe aktarılmasını ve işlevlerinin ele geçirilen uygulama tarafından çağrılmasını bekleyerek, tek bir ortak, davranış temelli algılama biçiminden kaçınıyorlar ve olası savunucular için çıtayı yükseltiyorlar” dedi.
Diğer iki paket olan request-plus ve requestpro, virüs bulaşmış makine hakkında bilgi toplama ve bunu bir komuta ve kontrol (C2) sunucusuna aktarma becerisini içeriyor.
Bu adımın ardından sunucu, virüslü ana bilgisayarın aynı C2 sunucusundaki farklı bir URL’ye geri gönderdiği bir belirteçle yanıt verir ve sonuçta karşılığında çift kodlu bir Python modülü ve bir indirme URL’si alır.
Kodu çözülen modülün, kötü amaçlı yazılımın bir sonraki aşamasını sağlanan URL’den indirdiğinden şüpheleniliyor.
Kuzey Kore’ye Giden Karmaşık Bağlantılar Ağı
Radarın altından uçmak için jeton tabanlı bir yaklaşımın kullanılması, Phylum’un Haziran ayında açıkladığı ve o zamandan beri Kuzey Koreli aktörlerle bağlantılı olan bir npm kampanyasını yansıtıyor. Microsoft’un sahibi olduğu GitHub, saldırıları TraderTraitor veya UNC4899 olarak da bilinen Jade Sleet adlı bir tehdit aktörüne bağladı.
TraderTraitor, kar amaçlı hack planlarında Kuzey Kore’nin önde gelen siber silahlarından biridir ve finansal kazanç için kripto para birimi şirketlerini ve diğer sektörleri hedefleme konusunda uzun ve başarılı bir geçmişe sahiptir.
Potansiyel bağlantılar, bunun, saldırganların belirli filtreleme kriterlerine dayalı olarak ikinci aşama bir kötü amaçlı yazılımı seçici olarak yaymak için benimsediği ortak bir taktik olma olasılığını artırıyor.
Kuzey Kore ile olan bağlantılar, npm mühendislik kampanyası ile Haziran 2023’teki JumpCloud hack’i arasında altyapı çakışmalarının keşfedilmesi gerçeğiyle de doğrulanıyor.
Dahası ReversingLabs, VMConnect paketinde bulunanlara çok benzeyen kötü amaçlı işlevler içeren py_QRcode adlı bir Python paketi bulduğunu söyledi.
py_QRcode’un, Mayıs 2023’ün sonlarında kripto para borsası işletmesi geliştiricilerini hedef alan ayrı bir saldırı zincirinin başlangıç noktası olarak kullanıldığı söyleniyor. JPCERT/CC, geçen ay bunu SnatchCrypto (diğer adıyla diğer) kod adlı başka bir Kuzey Kore etkinliğine bağladı. CryptoMimic veya DangerousPassword).
Ajans, aktörün çeşitli platformlarla geliştirici ortamını hedefleme konusunda benzersiz olduğunu belirterek, “Bu Python kötü amaçlı yazılımı Windows, macOS ve Linux ortamlarında çalışıyor ve işletim sistemi bilgilerini kontrol ediyor ve buna bağlı olarak enfeksiyon akışını değiştiriyor.” dedi.
Dikkate değer bir diğer husus ise macOS sistemlerine yönelik saldırıların, ilk kez Haziran 2023’te ortaya çıkan yeni bir arka kapı olan JokerSpy’ın konuşlandırılmasıyla sonuçlanmasıdır.
Hepsi bu değil. Haziran 2023’te siber güvenlik firması SentinelOne, py_QRcode ile aynı işlevselliğe sahip olan ve www.git-hub alanına referans veren QRLog adlı başka bir kötü amaçlı yazılım parçasının ayrıntılarını verdi.[.]Ben de bunun JokerSpy enfeksiyonuyla bağlantılı olduğu görüldü.
Güvenlik araştırmacısı Phil Stokes o dönemde “JokerSpy saldırıları, Python, Java ve Swift gibi birçok farklı dilde işlevsel kötü amaçlı yazılım yazma ve birden fazla işletim sistemi platformunu hedefleme yeteneğine sahip bir tehdit aktörünü açığa çıkarıyor” dedi.
QRLog kötü amaçlı yazılımını ilk tespit eden siber güvenlik araştırmacısı Mauro Eldritch, kötü amaçlı yazılımın kötü şöhretli Lazarus Grubunun bir alt grubu olan Labyrinth Chollima olarak bilinen bir saldırganın işi olduğuna dair kanıtlar bulunduğunu söyledi.
Zanki, “Bu, PyPI deposu kullanıcılarını hedef alan bir dizi kötü niyetli saldırıdan sadece bir tanesi” dedi ve “tehdit aktörleri, kötü amaçlı yazılımları için bir dağıtım noktası olarak Python Paket Dizini (PyPI) deposunu kullanmaya devam ediyor” diye ekledi.