Python Paket Dizini (PyPI), Python programlama dili için tasarlanmış çok sayıda yazılım paketi için önemli bir merkezdir. Ancak popülaritesi, onu yaygın kullanıcı tabanından yararlanmak isteyen kötü niyetli aktörler için birincil hedef haline getirdi.
Son zamanlarda, Cyble Research and Intelligence Labs (CRIL) tarafından ‘KEKW malware’ adlı yeni bir form taşıyan kötü amaçlı Python çarkı (.whl) dosyalarının dağıtımını içeren büyük ölçekli bir kampanya keşfedildi.
CRIL’in raporuna göre, kötü amaçlı yazılım, güvenliği ihlal edilmiş sistemlerden hassas bilgileri çalabilir ve kripto para birimi işlemlerini ele geçirmesine izin veren kesme faaliyetleri gerçekleştirebilir.
İncelenen paketler PyPI deposunda değildi, bu da Python güvenlik ekibinin bunları kaldırdığını gösteriyor.
Raporda, bunları indiren kişilerin sayısını belirlemek imkansız, ancak hızlı eylem nedeniyle etki minimum düzeyde olmuş olabilir.
Ayrıca, tehdit aktörlerine bağlı etki alanlarını içeren KEKW kötü amaçlı yazılımını yayan birkaç kötü amaçlı paket gözlemlendi.
KEKW kötü amaçlı yazılımı nedir?
Programlama dünyasında, Python paket dosyasının birincil işlevi, hata ayıklamayı önleme, kalıcılık, sistem bilgilerini toplama, çeşitli uygulamalardan hassas verileri çalma ve daha fazlası gibi çeşitli yetenekler içerir.
KEKW kötü amaçlı yazılımı, kullanıcı adı, bilgisayar adı, sistem IP adresi veya donanım kimliği gibi önceden tanımlanmış kara listeye alınmış sabit kodlu dizeleri tespit ederse yürütmeyi sonlandırır. Ayrıca sistemde çalışan güvenlikle ilgili işlemleri de kontrol eder.
KEKW kötü amaçlı yazılımı, virüs bulaşmış makinelerden çok çeşitli sistemle ilgili verileri toplamak için system_information() olarak bilinen kötü amaçlı bir işlev kullanır.
Bu işlev, oturum açma kullanıcı adını, bilgisayar adını, Windows ürün anahtarını ve sürümünü, RAM kapasitesini, HWID’yi, IP adresini, coğrafi konumu, Google Haritalar bilgilerini ve diğer hassas verileri çıkarabilir.
Kötü amaçlı yazılım, bu bilgileri toplayarak, virüs bulaşmış sistemi kapsamlı bir şekilde anlayabilir ve kimlik hırsızlığı veya finansal dolandırıcılık gibi daha fazla kötü amaçlı etkinlik gerçekleştirmesine olanak tanır.
KEKW kötü amaçlı yazılımı: Teknik analiz
Rapora göre, kötü amaçlı Python komut dosyası tek bir amaç göz önünde bulundurularak tasarlandı: bir hedefin web tarayıcısından gizlice hassas bilgiler toplamak.
Bu bilgiler arasında parolalar, tanımlama bilgileri, tarama geçmişleri, kredi kartı ayrıntıları, belirteçler ve kullanıcı profilleri yer alabilir.
Bununla birlikte, tehdit aktörlerinin hain faaliyetleri, saldırılarına kırpıcı işlevselliğini ve hırsız yüklerini de dahil ettiklerinden, yalnızca veri hırsızlığının ötesine geçiyor.
Bu yükler, aktörlerin kripto para birimi işlemlerini ele geçirebilen ve hesaplarına fonları yönlendirebilen kesme faaliyetleriyle bağlantılı çeşitli kripto adresleri içerir.
Aslında CRIL, 20’den fazla paketle ilişkili bir Bitcoin adresinin geçen ay işlem aktivitesinde keskin bir artış gördüğünü tespit etti.
Paketlerdeki Python dosyalarının çoğu “kekwltd” alan adını içeriyordu.[.]ru”, yalnızca birkaçı “siyah kapaklı” içeriyordu.[.]ru”, bu etki alanları ve tehdit aktörleri arasında olası bir bağlantıyı belirtir.
KEKW kötü amaçlı yazılımı: Sonuç
PyPI deposunda kötü amaçlı paketlerin keşfedilmesi, siber saldırıları önlemek için dünya çapında geliştiriciler tarafından alınması gereken güvenlik önlemlerinin önemini vurgulamaktadır.
PyPI, şüpheli etkinlik için depoyu sürekli olarak izlemeli ve kullanıcının zarar görmesini önlemek için kötü amaçlı paketleri derhal kaldırmalıdır.
Geliştiriciler ve kullanıcılar da dikkatli olmalı ve güvenilmeyen kaynaklardan yazılım paketleri indirmekten kaçınmalıdır.
Siber tehditlere karşı maksimum koruma sağlamak için yazılımı sık sık güncellemek ve saygın bir antivirüs yazılımı kullanmak önemlidir.