PyPI’de “crytic-compilers” adlı kötü amaçlı bir Python paketi tespit edildi.
Akıllı sözleşme derlemesi için meşru bir kitaplık görünümüne bürünerek, gerçek “kritik-derleme” aracının adını ve sürüm şemasını taklit ediyordu.
Sahte paket, virüslü sistemlerden kripto para birimini çalan gizli bir veriyi barındırdığı için istenen işlevselliği sunuyormuş gibi görünerek popüler geliştirme ortamlarına sızdı.
Her ne kadar paket kaldırılmadan önce 436 kez indirilmiş olsa da bu, uygun bir inceleme yapılmadan yalnızca açık kaynaklı bileşenlere güvenmenin zayıflığını vurguluyor.
Sahte bir Python kütüphanesi olan “crytic-compilers”, benzer adlar kullanan ve sürüm numaralarını (0.3.8 ila 0.3.11) daha yeni bir sürüm olarak görünecek şekilde hizalayan meşru “crytic-compile” kütüphanesini taklit ederek geliştiricilerden yararlanmak üzere tasarlanmıştır. .
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Hatta bazı sürümler şüpheyi gidermek için gerçek kitaplığı yüklemeye bile çalışır.
Kötü niyetli niyet, Windows sistemlerini hedef alan ve gizli bir programı (s.exe) çalıştıran 0.3.11 sürümünde ortaya çıkıyor.
Strateji, kripto para birimi geliştirme topluluğundaki şüphelenmeyen projelere sızmak için “crytic-compile”ın (170.000 aylık indirme, 141 GitHub yıldızı) popülaritesinden yararlanıyor.
Rusya bağlantılı bir C2 truva atı olan Lumma, kripto cüzdanlarını ve tarayıcı şifrelerini çalarak Windows kullanıcılarını hedef alıyor. ]
Yürütülebilir bir dosya (s.exe) görünümüne bürünen kötü amaçlı yazılım, yakalanmamak için algılama önleme tekniklerini kullanıyor.
Namecheap’e kayıtlı ve Cloudflare tarafından güvence altına alınan, büyük olasılıkla Lumma C2 sunucuları olan aktif “/api” uç noktalarına sahip bir alan adı listesine (IOC’ler) bağlanarak, yayından kaldırma girişimlerini daha zorlu hale getirir.
SonaType’a göre coğrafi engelleme, kullanıcıların bu alan adlarına kısıtlı bölgelerden erişmesini de engelliyor.
Kripto para birimi cüzdanlarını ve tarayıcı uzantılarını hedef alan C tabanlı bir Windows truva atı olan Lumma Stealer, en az 2022’den bu yana çeşitli kanallar aracılığıyla dağıtılıyor.
Öncelikle Rus karanlık web forumlarında Hizmet Olarak Kötü Amaçlı Yazılım olarak sunulan Lumma, truva atı haline getirilmiş uygulamalarda, kimlik avı e-postalarında ve hileli korsan oyunlarda yeniden ortaya çıktı.
Son zamanlarda, sahte tarayıcı güncellemeleri gibi görünen, tehlikeye atılmış web sitelerindeki arabadan indirmeler, Lumma hırsızlarını dağıtmak için kullanıldı.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo