ReversingLabs, Ağustos ayı başlarında PyPI’de iki düzine sahte Python paketi içeren kötü niyetli bir tedarik zinciri kampanyası olan “VMConnect”i tespit etti.
Bu paketlerin aşağıdaki bilinen açık kaynaklı Python araçlarını taklit ettiği gözlemlendi: –
- vBağlayıcı
- et-testçi
- Veritabanları
ReversingLabs’taki siber güvenlik araştırmacıları yakın zamanda Kuzey Koreli bir hacker grubunun PyPI deposunda Python Paketlerinin kötü amaçlı sürümlerini aktif olarak dağıttığını tespit etti.
Güvenlik analistleri tüm kötü amaçlı paketleri analiz etti ve kötü amaçlı paketlerin şifresini başarıyla çözdükten sonra köklerini, Kuzey Kore devlet destekli ünlü grup Lazarus’un bir kolu olan Labyrinth Chollima’ya bağladılar.
Son yıllarda kötü niyetli aktörlerin, meşgul geliştiricileri kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla yazım hatası yapma gibi taktikler kullanarak açık kaynak paketleri taklit ettiğine tanık olduk.
Kötü amaçlı paketler
Aşağıda, güvenlik uzmanlarının tespit ettiği tüm kötü amaçlı paketlerden bahsettik: –
- tablo düzenleyici (736 indirme)
- request-plus (43 indirme)
- requestpro (341 indirme)
Üç yeni paketten ilki bir tablo düzenleme aracı gibi davranırken, diğerleri ‘requests’ Python kütüphanesini taklit ederek, ‘plus’ ve ‘pro’ kelimelerini ekleyerek gelişmiş yasal sürümler gibi görünüyor.
PyPI Havuzundaki Kötü Amaçlı Python Paketi
Kötü niyetli aktörler, yazım hatası yapma gibi kaçınma taktikleri kullandı ve ‘istekler’ paketini taklit ederek açıklamasını ve dosyalarını hiçbir ekleme yapmadan kopyaladı.
“__init__.py” dosyasındaki kötü amaçlı paketler, yalnızca birkaç satır kod eklendikten sonra “cookies.py” dosyasından bir işlevi çalıştıran bir iş parçacığı başlatacak şekilde değiştirildi ve değiştirildi.
Cookies.py dosyası, makine verilerini toplayıp POST yoluyla bir C2 sunucusu URL’sine gönderen kötü amaçlı işlevlerle değiştirildi. Daha sonra bir GET HTTP isteği aracılığıyla başka bir C2 sunucusu URL’sine bir belirteç alır.
Etkilenen ana bilgisayar, yürütme parametrelerini içeren çift şifreli bir Python modülü alır, kodunu çözer ve bir sonraki kötü amaçlı yazılım aşamasını sağlanan URL’den indirir.
Önceki VMConnect kampanyasına benzer şekilde, C2 sunucusu uygun hedefleri bekledi, ek komutları sakladı ve kampanya değerlendirmesini zorlaştırdı.
ReversingLabs, VMConnect’i araştırırken onu diğer kötü amaçlı yazılım kampanyalarıyla ilişkilendirmeyi hedefledi ve onu Kuzey Koreli bir APT grubu olan Lazarus Group’a bağlayan ipuçlarını ortaya çıkardı.
Daha ileri araştırmalar, Temmuz 2023 JPCERT raporunda (https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html) bahsedilen py_QRcode paketini buldu, ancak bu paket hiçbir zaman PyPI’de değildi. Bu durum, kötü amaçlı yazılımın bu pakete bağlı olmasına rağmen kurbanlara nasıl ulaştığına dair soruları gündeme getiriyor.
VMConnect ve JPCERT/CC bulguları arasındaki kod benzerlikleri, her ikisini de Lazarus Grubuyla ilişkilendirerek Kuzey Kore devlet sponsorluğunu doğruluyor.
IoC’ler
Komuta ve kontrol (C2) alanları ve IP adresi:
- paketler-api.test
- tabloditermanaging.pro
- 45.61.136.133
PyPI paketleri:
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.