Siber güvenlik araştırmacıları, MacOS kullanıcılarını hedef alan bir dizi kötü amaçlı yazılım paketi tespit etti.
Python Paket Dizininde (PyPI) ve NPM’de bulunan bu paketler, kötü niyetli niyetlerini ve karmaşık saldırı mekanizmalarını ortaya çıkarmak için titizlikle analiz edildi.
GuardDog: Kötü Amaçlı Paketlere Karşı Sentinel
2022’nin sonlarında GuardDog adlı CLI tabanlı bir araç piyasaya sürüldü. Semgrep ve paket meta veri buluşsal yöntemlerinden yararlanan GuardDog, kötü amaçlı yazılım paketlerini ortak kalıplara göre tanımlar.
2023’ün başlarında GuardDog, PyPI’yi sürekli olarak tarayacak şekilde ölçeklendirildi ve bu, yaklaşık 1.500 kötü amaçlı paketin tanımlanmasına ve manuel olarak önceliklendirilmesine olanak sağladı.
SecurityLabs raporlarına göre bu çaba, kötü amaçlı paketlerin halka açık en büyük etiketli veri kümelerinden biriyle sonuçlandı.GuardDog Dashboard
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
İlk Potansiyel Müşteri: “Gerçekten Hiçbir Şey Yok” Paketi
İlk ipucu, 9 Mayıs 2024’te yayınlanan “reallydonthing” adlı bir paketten geldi. Bu paket birkaç şüpheli özellik sergiliyordu:
- Boş açıklama
- Tek Python dosyası
- Komutun üzerine yazma
- İşletim sistemi komut yürütmesi
Bu göstergeler GuardDog’un kurallarını tetikleyerek daha fazla araştırmaya yol açtı.
Kötü Amaçlı Paketlerin Detaylı Analizi
“Reallydonthing”, “jupyter-calendar-extension”, “calendar-extender”, “ReportGenPub” ve “Auto-Scrubber” gibi kötü amaçlı paketler standart bir yapıyı paylaşıyor.
Kurulum sırasında kötü amaçlı kod yürütmek için setup komutunun üzerine yazan setup.py adlı tek bir Python dosyasından oluşurlar.
Kod Örneği:
class InstallCommand(install):
def run(self):
install.run(self)
# malicious code followssetup(
name="reallydonothing",
version='0.1',
license="MIT",
packages=find_packages(),
cmdclass={'install': InstallCommand},
)
Kötü amaçlı kod, yerel dosya sistemindeki belirli dosya kalıplarını arar ve gizli bir dosyanın varlığını belirlemek için sabit kodlanmış değerleri kullanır.
Dosya bulunursa, ikinci aşama ikili programın indirilmesi ve çalıştırılması da dahil olmak üzere başka kötü amaçlı eylemler yürütülür.
Tanımlanan Kötü Amaçlı Paketlerin Farkları
Tanımlanan paketler dosya desenlerine, sabit kodlanmış değerlere ve ikili dosyaları bıraktıkları konumlara göre farklılık gösterir.
İşte farklılıkların bir özeti:
| Paket ismi | Sürüm | Eşleşen Dosyalar | Sabit Kodlanmış Sihirli Kelimeler | Bırakılan İkili Yolu | Başarılı Enfeksiyondan Sonra Oluşturulan Dosya |
| gerçekten hiçbir şey yapmıyorum | 0,1 | /Library/Uygulama Desteği/t*/Ö/* | demiryolu, mücevher, boğulmak, arşiv | ~/.local/bin/donthing | /tmp/test etme |
| gerçekten hiçbir şey yapmıyorum | 0,3 | /Library/Uygulama Desteği/t*/Ö/* | demiryolu, mücevher, boğulmak, arşiv | ~/.local/bin/donthing | /tmp/test etme |
| jüpyter-takvim-uzantısı | 0,1 | /Kullanıcılar/Paylaşılan/C*/R/2*/* | zanaat, kurdele, efekt, ceket | ~/.local/bin/jupyter_calendar | /tmp/21cb7184-5e4e-4041-b6db-91688a974c56 |
| takvim genişletici | 0,1 | /Kullanıcılar/Paylaşılan/C*/R/2*/* | zanaat, kurdele, efekt, ceket | ~/.local/bin/calendar_extender | /tmp/9bacc561-8485-4731-9c09-7eb4f3fae355 |
| takvim genişletici | 0,2 | /Kullanıcılar/Paylaşılan/C*/R/2*/* | zanaat, kurdele, efekt, ceket | ~/.local/bin/calendar_extender | /tmp/21cb7184-5e4e-4041-b6db-91688a974c56 |
| RaporGenPub | 0,1 | /Kullanıcılar/Paylaşılan/P*/C/R*/* | tezgah, örnek, varsaymak, rezervuar | ~/.local/bin/report_gen | Hiçbiri |
| RaporGenPub | 0,2 | /Kullanıcılar/Paylaşılan/P*/C/R*/* | tezgah, örnek, varsaymak, rezervuar | ~/.local/bin/report_gen | Hiçbiri |
| Otomatik Temizleyici | 0,1 | /Kullanıcılar/Paylaşılan/Videolar/T/2*/* | özgürlük, tohum, roman, yapı | ~/.local/bin/AutoScrub | Hiçbiri |
Değerlendirme
Bu kötü amaçlı paketler özellikle MacOS sistemlerini hedef alıyor ve /Users/Shared ve /Library/Application Support gibi standart dizinlerdeki dosyaları arıyor.
Tek yönlü karma işlevlerinin ve gizli dosya yollarının kullanılması nedeniyle saldırganın niyeti belirsiz kalıyor ve bu da, gizli dosya yolu olmadan yük URL’sinin belirlenmesini zorlaştırıyor.
Bu kötü amaçlı paketlerin keşfi, yazılım depolarının sürekli olarak izlenmesinin ve analiz edilmesinin önemini vurgulamaktadır.
GuardDog gibi araçlar bu tür tehditlerin belirlenmesinde ve azaltılmasında çok önemli bir rol oynamaktadır.
Kullanıcılar bu karmaşık saldırılara karşı korunmak için dikkatli olmalı ve güvenlik önlemlerini düzenli olarak güncellemelidir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers