Siber güvenlik araştırmacıları, tehdit aktörlerinin Python tabanlı hackleme araçları sunduğunu iddia eden ancak bunun yerine truva atma yükleri sunan 67’den fazla GitHub depo yayınladıkları yeni bir kampanya ortaya çıkardılar.
ReversingLabs tarafından kodlanmış muz ekibi olan etkinlik, 2023’te Python Paket Dizini (PYPI) deposunu 75.000 kattan fazla indirilen ve Windows sistemlerinde bilgi çalma kapasiteleri ile birlikte gelen sahte paketlerle hedefleyen bir haydut Python kampanyasının devamı olarak değerlendiriliyor.
Bulgular, Kasım 2024’te SANS’ın İnternet Fırtına Merkezi’nden, Github’da barındırılan ve Exodus Cryptocurrency Cüzdan uygulamasına kötü niyetli kod enjekte edebilen ek python yükleri indirmek için gizli özellikleri birleştiren bir önceki rapor üzerine inşa edilen bir “Buharlı-hesap-kontrol” aracını detaylandıran bir “Buharlı-hesap-kontrol” aracını detaylandıran bir “Buhar-hesap-kontrol” aracını detaylandıran bir “Buhar-hesap-checker” aracını detaylandıran bir “Buhar-hesap-kontrol” aracını detaylandıran bir “Buharlı-hesap-kontrol” aracını detaylandıran bir “Buharlı-hesap-kontrol” aracını detaylandıran bir “Buhar-hesap-checker” aracını detaylandırdı.[.]Ru “).
Depo ve saldırgan kontrolündeki altyapının daha fazla analizi, iyi huylu depoları aynı adla taklit eden 67 truva github depolarının keşfedilmesine yol açmıştır.
Hesap temizleme araçları ve Discord Hesap Temizleyici, Fortnite Harici Hile, Tiktok Kullanıcı Adı Denetleyicisi ve PayPal toplu hesap denetleyicisi gibi oyun hileleri gibi yazılım arayan kullanıcıların kampanyanın hedefleri olduğunu gösteren kanıtlar vardır. Belirlenen tüm depolar o zamandan beri GitHub tarafından kaldırıldı.
ReversingLabs araştırmacısı Robert Simmons, “GitHub gibi halka açık kaynak kodu depolarındaki arka kapı ve truva kodları daha yaygın hale geliyor ve büyüyen bir yazılım tedarik zinciri saldırısı vektörünü temsil ediyor.” Dedi.
“Bu açık kaynaklı platformlara güvenen geliştiriciler için, kullandığınız deponun gerçekten beklediğinizi içerdiğini her zaman iki kez kontrol etmek önemlidir.”
Kötü amaçlı yazılım dağıtım hizmeti olarak GitHub
Geliştirme, GitHub’ın giderek artan bir şekilde kötü amaçlı yazılım dağıtım vektörü olarak çeşitli kampanyaların odak noktası haline geldiği için geliyor. Bu haftanın başlarında, Trend Micro, bir tehdit aktörü tarafından işletilen 76 kötü amaçlı GitHub depolarını ortaya çıkardığını söyledi.
Bu yükler, kimlik bilgilerini, tarayıcı verilerini ve oturum jetonlarını sifonlamak ve tehdit aktörlerine tehlikeye atılan sistemlere sürekli uzaktan erişim sağlamak için tasarlanmıştır.
Check Point, “Ağ, kötü amaçlı bağlantılar ve kötü amaçlı yazılımlar dağıtan ve meşru görünmeleri için kötü amaçlı depolara abone olma, çatallama ve abone olma gibi diğer eylemleri gerçekleştiren birden fazla hesaptan oluşuyor.” Dedi.
Siber güvenlik şirketi ayrıca, bu tür “GitHub ‘Hayalet’ hesaplarının büyük resmin sadece bir parçası olduğunu ve diğer ‘hayalet’ hesaplarının, daha da büyük bir hizmet olarak dağıtım evreninin ayrılmaz bir parçası olarak farklı platformlarda faaliyet gösterdiğini değerlendirdi.
Stargazers Hayalet Ağı’nın bazı yönleri Nisan 2024’te CheckMarx tarafından maruz kaldı ve tehdit oyuncunun sahte yıldızları kullanma ve depoların popülaritesini yapay olarak şişirmek için sık sık güncellemeleri itme ve GitHub arama sonuçlarında üstte ortaya çıktıklarından emin olun.
Bu depolar, tipik olarak popüler oyunlar, hileler veya kripto para birimi fiyat izleyicileri ve çarpışma betting oyunları için çarpan tahmini gibi araçlarla ilgili meşru projeler olarak gizlenir.
Bu kampanyalar ayrıca, bilgi samanlılarıyla enfekte etmek için geride kalan depolarla GitHub’da kolayca mevcut kötü amaçlı yazılım ve saldırı araçları için acemi siber suçluları hedefleyen başka bir saldırı dalgasına da giriyor.
Bu ay Sophos tarafından vurgulanan bir örnekte, truva atlı Sakura-rat deposunun, sistemlerinde kötü amaçlı yazılımları derleyenleri bilgi çalan ve diğer uzaktan erişim truva atları (sıçanlar) ile derleyen kötü amaçlı kodları içerdiği bulunmuştur.
Belirlenen depolar, Visual Studio önceden yapılanma olaylarına, python komut dosyalarına, ekran koruyucu dosyalarına ve javascript’e gömülü dört farklı arka kapı için bir kanal görevi görür, ekran görüntüleri almak, telgrafla iletişim kurmak ve asyncrat, remcos sıçan ve lüks de dahil olmak üzere daha fazla yük getirir.
Toplamda, siber güvenlik şirketi, kampanyanın bir parçası olarak 133’ten fazla geri alınmış depo tespit ettiğini, 111’i önceden yapılandırıcı arka kapıyı ve diğerlerinin Python, ekran koruyucu ve JavaScript arka kapılarını barındıran tespit ettiğini söyledi.
Sophos ayrıca, bu faaliyetlerin büyük olasılıkla Ağustos 2022’den bu yana faaliyete geçen ve oyun hileleri, istismarlar ve saldırı araçları teması etrafında yer alan truva atıkları içine gömülü kötü amaçlı yazılımları dağıtmak için binlerce Github hesaplarını kullanan bir hizmet olarak dağıtım (DAAS) operasyonuyla bağlantılı olduğunu belirtti.
Kampanyada kullanılan tam dağıtım yöntemi belirsiz olmakla birlikte, tehdit aktörlerinin, bağlantıları truva atıklarına yaymak için anlaşmazlık sunucularına ve YouTube kanallarına da güvendiğine inanılmaktadır.
Sophos, “Bu kampanyanın doğrudan bildirilen önceki kampanyaların bir kısmı veya tamamıyla bağlantılı olup olmadığı belirsizliğini koruyor, ancak yaklaşımın popüler ve etkili olduğu ve muhtemelen şu ya da bu şekilde devam etmesi muhtemeldir.” Dedi. “Gelecekte, odağın değişebilmesi ve tehdit aktörlerinin deneyimsiz siber suçlular ve hileler kullanan oyuncuların yanı sıra diğer grupları hedefleyebilmesi mümkündür.”