Tehdit aktörlerinin kullanıcıları kötü amaçlı yazılım indirmeye kandırmanın yeni yollarını her zaman aradığının bir başka işareti olarak, Stack Exchange olarak bilinen soru-cevap (S&C) platformunun, şüphesiz geliştiricileri kripto para cüzdanlarını boşaltabilecek sahte Python paketlerine yönlendirmek için kötüye kullanıldığı ortaya çıktı.
Checkmarx araştırmacıları Yehuda Gelb ve Tzachi Zornstain, The Hacker News ile paylaştıkları raporda, “Bu kod kurulduğunda otomatik olarak çalışacak ve kurbanın sistemlerini tehlikeye atıp kontrol altına almayı, ayrıca verilerini sızdırmayı ve kripto cüzdanlarını boşaltmayı amaçlayan bir olaylar zincirini harekete geçirecek” dedi.
25 Haziran 2024’te başlayan kampanya, özellikle Raydium ve Solana ile ilişkili kripto para birimi kullanıcılarını hedef aldı. Faaliyetin bir parçası olarak ortaya çıkarılan sahte paketlerin listesi aşağıda listelenmiştir –
Paketler toplu olarak 2.082 kez indirildi. Artık Python Paket Endeksi (PyPI) deposundan indirilemezler.
Paketin içinde gizlenen kötü amaçlı yazılım, web tarayıcısı şifreleri, çerezler, kredi kartı bilgileri, kripto para cüzdanları ve Telegram, Signal ve Session gibi mesajlaşma uygulamalarıyla ilişkili bilgiler de dahil olmak üzere geniş bir veri ağı yayınlayarak tam teşekküllü bir bilgi hırsızı olarak hizmet veriyordu.
Ayrıca sistemin ekran görüntülerini yakalama ve GitHub kurtarma kodları ve BitLocker anahtarları içeren dosyaları arama yeteneklerine de sahipti. Toplanan bilgiler daha sonra sıkıştırıldı ve tehdit aktörü tarafından yönetilen iki farklı Telegram botuna sızdırıldı.
Ayrıca, kötü amaçlı yazılımda bulunan bir arka kapı bileşeni, saldırgana kurbanların makinelerine kalıcı bir uzaktan erişim izni vererek, gelecekte olası istismarların ve uzun vadeli ihlallerin önünü açtı.
Saldırı zinciri birden fazla aşamayı kapsıyor ve “raydium” paketi kötü niyetli davranışı gizlemek ve kullanıcılara bunun meşru olduğu izlenimini vermek amacıyla “spl-types”ı bir bağımlılık olarak listeliyor.
Kampanyanın dikkat çeken bir yönü, Python kullanarak Raydium’da takas işlemleri gerçekleştirmeye ilişkin geliştirici sorularına söz konusu pakete atıfta bulunarak görünüşte yararlı yanıtlar yayınlayarak benimsenmeyi teşvik etmek için Stack Exchange’in bir vektör olarak kullanılmasıdır.
Araştırmacılar, “Yüksek görünürlüğe sahip, binlerce görüntüleme toplayan bir konu başlığı seçerek saldırgan potansiyel erişimini en üst düzeye çıkardı,” diyerek, bunu “bu paketin güvenilirliğini artırmak ve yaygın bir şekilde benimsenmesini sağlamak” amacıyla yaptıklarını eklediler.
Cevap artık Stack Exchange’de mevcut olmasa da The Hacker News, 9 Temmuz 2024 tarihli Soru & Cevap sitesinde yayınlanan başka bir cevapsız soruda “raydium” referansları buldu: “Python 3.10.2’de çalışan solana ağında bir takas elde etmek için gecelerdir uğraşıyorum, solana, solders ve Raydium yüklü ama çalıştıramıyorum,” dedi bir kullanıcı.
“raydium-sdk” ifadesine yapılan atıflar, 29 Haziran 2024’te sosyal yayın platformu Medium’da SolanaScribe adlı bir kullanıcı tarafından paylaşılan “Python kullanarak Raydium’da Token Nasıl Alınır ve Satılır: Adım Adım Solana Rehberi” başlıklı bir gönderide de ortaya çıktı.
Paketlerin PyPI’dan ne zaman kaldırıldığı henüz belli değil, zira iki kullanıcı daha Medium’daki “raydium-sdk” kurulumu hakkında yazardan yardım isteyen gönderiye altı gün kadar önce yanıt vermişti.
Kötü niyetli kişilerin böyle bir kötü amaçlı yazılım dağıtım yöntemine başvurması ilk kez olmuyor. Bu Mayıs ayının başlarında Sonatype, pytoileur adlı bir paketin, kripto para hırsızlığını kolaylaştırmak için Stack Overflow adlı başka bir soru-cevap hizmeti aracılığıyla nasıl tanıtıldığını açıkladı.
Gelişme, saldırganların topluluk odaklı platformlara olan güveni kötü amaçlı yazılımları yaymak için kullandıklarının ve bunun da tedarik zincirine yönelik büyük ölçekli saldırılara yol açtığının kanıtı niteliğinde.
Araştırmacılar, “Tek bir tehlikeye atılmış geliştirici, istemeden tüm bir şirketin yazılım ekosistemine güvenlik açıkları sokabilir ve potansiyel olarak tüm kurumsal ağı etkileyebilir,” dedi. “Bu saldırı, hem bireyler hem de kuruluşlar için güvenlik stratejilerini yeniden değerlendirmeleri için bir uyarı niteliğindedir.”
Gelişme, Fortinet FortiGuard Labs’ın, Discord token’ları, Google Chrome, Mozilla Firefox, Brave ve Opera’da kaydedilen çerezler ve tarayıcılardan saklanan parolalar gibi hassas bilgileri çalmak için özellikler içeren zlibxjson adlı kötü amaçlı bir PyPI paketini ayrıntılı olarak açıklamasıyla geldi. Kütüphane, PyPI’dan çekilmeden önce toplam 602 indirme çekti.
Güvenlik araştırmacısı Jenna Wang, “Bu eylemler, kullanıcı hesaplarına yetkisiz erişime ve kişisel verilerin sızdırılmasına yol açabilir ve yazılımı açıkça kötü amaçlı olarak sınıflandırabilir” dedi.