Güvenlik araştırmacıları, Python’un resmi üçüncü taraf yazılım deposu olan Python Paket Endeksi (PYPI) kullanıcılarını hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu son saldırı vektörü, aslında bulut erişim belirteçleri, API anahtarları ve diğer kimlik bilgileri de dahil olmak üzere hassas bilgileri çalmak için tasarlanmış zamanla ilgili yardımcı programlar olarak gizlenmiş birkaç kötü amaçlı paket içerir.
X’te paylaşılan Reversing Labs Post’a göre, Mart 2025’in başlarında tanımlanan kampanya, meşru zaman ölçüm kütüphanelerini taklit eden “zaman-utils”, “timeFormat” ve “yürütme zamanı-async” gibi birçok paket içeriyor.
Bu paketler, saldırganların geliştiricileri aldatmak için mevcut paket adlarına makul sesli kelimeler ekledikleri kombinasyon olarak bilinen bir teknik kullanır.
Örneğin, kötü niyetli paket “yürütme zamanı-async”, kod yürütme süresini ölçen ve haftalık 27.000’den fazla indirme alan meşru “yürütme zamanı” yardımcı programına çok benzemektedir.
Kurulum üzerine, bu paketler arka planda gizlice kötü amaçlı kod yürütürken standart zaman biçimlendirme ve ölçüm işlevselliği sağlıyor gibi görünmektedir.
Böyle bir paket, aşağıdaki görünüşte masum kodu içerir:
Güvenlik uzmanları, koddaki ters uç nokta URL’sinin temel güvenlik taramalarından kaçacak şekilde tasarlandığını belirtiyor.
Yürütüldüğünde, bu kod saldırgan kontrollü sunuculara sistem bilgilerini gönderir.
Sofistike Veri Sınırlama Yöntemleri
Bu kampanya özellikle sofistike exfiltrasyon yöntemleriyle ilgilidir.
Kolayca algılanabilir HTTP bağlantıları kullanmak yerine, kötü amaçlı yazılım verileri şifreler ve geleneksel ağ izleme araçlarından kaçınmak için RPC uç noktaları aracılığıyla blockchain işlemleri aracılığıyla iletir.
Kötü niyetli paketler, saldırganlara hassas altyapıya erişim sağlayabilecek AWS kimlik bilgilerini, ortam değişkenlerini ve diğer bulut hizmeti jetonlarını hedefler.
Bu olay, açık kaynaklı depoları hedefleyen tedarik zinciri saldırılarının rahatsız edici bir eğiliminin bir parçasıdır. Bu yılın başlarında, PYPI yöneticileri Infostealer kötü amaçlı yazılım akışı nedeniyle yeni kullanıcı kayıtlarını ve proje kreasyonlarını yaklaşık 10 saat geçici olarak askıya almak zorunda kaldı.
Şubat 2025’te güvenlik araştırmacıları, benzer şekilde kullanıcı verilerini toplayan ve ortam değişkenlerini çalan “Deepseeek” ve “Deepseekai” adlı kötü amaçlı paketler belirlediler.
Mevcut saldırı kampanyası, birden fazla ülkedeki geliştiricileri zaten etkiledi ve kötü amaçlı paketler depodan kaldırılmadan önce toplu olarak 1000 kez indirildi.
Güvenlik uzmanları, kuruluşların paket doğrulaması, şüpheli giden bağlantılar için ağ izleme ve katı veteriner süreçlerine sahip özel paket depolarının kullanımı gibi titiz tedarik zinciri güvenlik uygulamaları uygulamalarını önermektedir.
PYPI yöneticileri güvenlik önlemlerini geliştirmeye devam ediyor, ancak geliştiricilere tüm paket kaynaklarını, özellikle de sınırlı indirme geçmişi veya minimum belgelerle yeni yayınlanan kaynakları dikkatlice doğrulamaları tavsiye ediliyor.
Kuruluşlar ayrıca Python ortamlarını düzenli olarak denetlemeli ve uzlaşmayı gösterebilecek yetkisiz ağ bağlantılarını izlemelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.