Kullanıcı güvenliği için önemli bir tehdit oluşturan iki kötü amaçlı Python Paket Dizini (PyPI) paketi (Zebo-0.1.0 ve Cometlogger-0.1) tespit edildi.
Kasım 2024’te yüklenen bu paketler, şüphelenmeyen geliştiricilerden ve kullanıcılardan yararlanarak oturum açma kimlik bilgileri, göz atma geçmişi ve hatta finansal bilgiler gibi hassas verileri çalmayı hedefliyor.
Paketler, açık kaynaklı yazılım havuzlarını kullanırken dikkatli olmanın öneminin altını çiziyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Kötü Amaçlı Paketlerin Ayrıntıları
Zebo-0.1.0, tespit edilmekten kaçınmak için gelişmiş gizleme uygulamaları kullanır. Örneğin, iletişim URL’lerini gizlemek için altıgen kodlu dizeler kullanır ve veri sızdırma amacıyla Firebase veritabanıyla etkileşim kurmak için HTTP isteklerine güvenir.
Bu önlemler birçok otomatik savunmayı atlayarak kötü amaçlı yazılımı gizli ama tehlikeli hale getiriyor.
Zebo, her kullanıcı tuş vuruşunu günlüğe kaydetmek için pynput kitaplığını kötüye kullanıyor ve bunları uzak bir sunucuya yüklemeden önce yerel olarak bir dosyada saklıyor. Ayrıca ImageGrab kütüphanesi aracılığıyla periyodik ekran yakalamaları gerçekleştirir.
C:\\system-logs\\systemss konumunda saklanan ekran görüntüleri, uzak bir kaynaktan getirilen bir API anahtarı kullanılarak harici bir sunucuya gönderilir.
Zebo’nun kritik özelliklerinden biri, kimlik bilgileri, tarama etkinliği ve ekran görüntüleri gibi hassas verileri uzak depolara yükleme yeteneğidir. Fortinet’in raporuna göre kötü amaçlı yazılım, aktarım sonrasında yerel günlükleri temizleyerek tespit edilme şansını azaltıyor.
Zebo, Windows Başlangıç klasöründe bir komut dosyası (system-log.pyw) ve bir toplu iş dosyası (start.bat) oluşturarak yürütülmesinin devam etmesini sağlar. Bu kalıcılık özelliği, sistem her yeniden başlatıldığında çalışmasını garanti ederek kullanıcılar için uzun vadeli riskler oluşturur.
Bu paket, web kancası URL’lerini yerleştirerek dosyaları dinamik olarak yönetir. Bu yaklaşım, uzaktan komuta ve kontrol (C2) işlemlerini kolaylaştırarak saldırganların uzaktan komut yürütmesine veya verileri çıkarmasına olanak tanır.
Cometlogger-0.1 tarayıcılardan ve kripto para cüzdanlarından gelen çerezleri, kayıtlı şifreleri, oturum verilerini ve kimlik bilgilerini hedefler. Tarayıcı dosyalarının şifresini çözerek Discord, Instagram ve Twitter gibi platformlardan kart ayrıntılarını ve kullanıcı kimlik bilgilerini alır.
Kötü amaçlı yazılım, VMware karşıtı taktiklerden yararlanarak “VMware” veya “VirtualBox” gibi göstergeleri kontrol ediyor. Kötü amaçlı yazılım tespit edilirse sonlandırılır ve genellikle araştırmacılar tarafından kullanılan korumalı alan ortamları tarafından tespit edilmekten kaçınır.
Cometlogger, bileşenlerini sıkıştırmak ve kötü amaçlı kodları antivirüs algılamasından gizlemek için UPX’i (Yürütülebilir Dosyalar için Ultimate Packer) kullanır. Bu taktik genellikle zararlı davranışları analiz araçlarından korur.
Zebo-0.1.0 ve Cometlogger-0.1’in keşfi, açık kaynak ekosistemlerindeki büyüyen tehditlerin altını çiziyor. Bu kötü amaçlı paketler, hem kişisel hem de kurumsal verileri korumak için sağlam güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Kullanıcılar en iyi uygulamaları takip ederek ve proaktif stratejiler uygulayarak riskleri azaltabilir ve daha güvenli bir geliştirme ortamına katkıda bulunabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin