Yeni bir dizi kötü amaçlı Python paketi, güvenliği ihlal edilmiş geliştirici sistemlerinden hassas bilgileri çalmak amacıyla Python Paket Dizini (PyPI) deposuna doğru ilerledi.
Paketler görünüşte zararsız gizleme araçları gibi görünüyor, ancak adı verilen bir kötü amaçlı yazılım parçasını barındırıyor. BlazeStealerCheckmarx, The Hacker News ile paylaştığı bir raporda şunları söyledi.
“[BlazeStealer] Güvenlik araştırmacısı Yehuda Gelb, saldırganlara kurbanın bilgisayarı üzerinde tam kontrol sağlayan bir Discord botunu etkinleştirerek harici bir kaynaktan ek bir kötü amaçlı komut dosyası alarak, “dedi.
Ocak 2023’te başlayan kampanya, sonuncusu Ekim ayında yayınlanan Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse ve pyobfgood isimli toplam sekiz paketten oluşuyor.
Bu modüller, aktarım sırasında barındırılan bir Python betiğini almak için tasarlanmış setup.py ve init.py dosyalarıyla birlikte gelir.[.]sh, kurulumlarının hemen ardından yürütülür.
BlazeStealer adı verilen kötü amaçlı yazılım, bir Discord botu çalıştırıyor ve tehdit aktörünün web tarayıcılarından şifreler ve ekran görüntüleri de dahil olmak üzere çok çeşitli bilgileri toplamasına, rastgele komutlar yürütmesine, dosyaları şifrelemesine ve virüslü ana makinede Microsoft Defender Antivirus’ü devre dışı bırakmasına olanak tanıyor.
Dahası, CPU kullanımını artırarak, makineyi kapatmak için başlangıç dizinine bir Windows Batch komut dosyası ekleyerek ve hatta mavi ölüm ekranı (BSoD) hatasına neden olarak bilgisayarı kullanılamaz hale getirebilir.
Gelb, “Kod gizlemeyle uğraşan geliştiricilerin büyük olasılıkla değerli ve hassas bilgilerle uğraştığı ve dolayısıyla bir bilgisayar korsanı için bu, takip edilmeye değer bir hedef anlamına geldiği anlamına geliyor” dedi.
Sahte paketlerle ilgili indirmelerin çoğunluğu ABD’den geliyor ve bunu Çin, Rusya, İrlanda, Hong Kong, Hırvatistan, Fransa ve İspanya takip ediyor. Kaldırılmadan önce toplu olarak 2.438 kez indirildiler.
Gelb, “Açık kaynak alanı inovasyon için verimli bir zemin olmaya devam ediyor, ancak dikkatli olunması gerekiyor” dedi. “Geliştiriciler dikkatli olmalı ve paketleri tüketimden önce incelemelidir.”