Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposunda bulunan popüler kitaplıkları taklit eden “sahte paketler” konusunda uyarıda bulunuyor.
41 kötü amaçlı PyPI paketinin, HTTP, AIOHTTP, istekler, urllib ve urllib3 gibi yasal modüllerin yazım hatası yapılmış varyantları olduğu tespit edildi.
Paketlerin isimleri şu şekilde:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestd, requeste, requestst, ulrlib3, urelib3, urklib3, urlkib3, urllb, urllib33, urolib3, xhttpsp
ReversingLabs araştırmacısı Lucija Valentić yeni bir yazıda, “Bu paketlerin açıklamaları, çoğunlukla kötü niyetli niyetlerini ima etmiyor” dedi. “Bazıları gerçek kitaplıklar gibi gizleniyor ve yetenekleri ile bilinen, meşru HTTP kitaplıklarının yetenekleri arasında gurur verici karşılaştırmalar yapıyor.”
Ancak gerçekte, ya ikinci aşama kötü amaçlı yazılımları virüslü ana bilgisayarlara iletmek için bir kanal görevi gören indiricileri ya da parolalar ve belirteçler gibi hassas verileri sızdırmak için tasarlanmış bilgi hırsızlarını barındırırlar.
Bu haftanın başlarında PyPI’de benzer hileli HTTP paketlerini de ifşa eden Fortinet, çeşitli işlevleri barındıran bir DLL dosyası (Rdudkye.dll) içeren bir trojan indirici başlatma yeteneklerini kaydetti.
Geliştirme, kötü niyetli aktörlerin GitHub, npm, PyPI ve RubyGems gibi açık kaynak havuzlarını geliştirici sistemlerine kötü amaçlı yazılım yaymak ve tedarik zinciri saldırıları düzenlemek için zehirlemeye yönelik en son girişimidir.
Bulgular, Checkmarx’ın kurbanları kimlik avı bağlantılarına yönlendirmek için tasarlanmış açık kaynaklı npm kayıt defterindeki spam paketlerindeki artışı ayrıntılı olarak açıklamasından bir gün sonra geldi.
Valentić, “Diğer tedarik zinciri saldırılarında olduğu gibi, kötü niyetli aktörler, karışıklık yaratan yazım hatalarına ve dikkatsiz geliştiricilerin benzer adlara sahip kötü amaçlı paketleri kazara kucaklayacaklarına güveniyor” dedi.