Siber güvenlik araştırmacıları, Python Paket Dizin (PYPI) deposunda Windows sistemlerinde Silentsync adlı uzaktan erişim truva atı sunmak üzere tasarlanmış iki yeni kötü amaçlı paket keşfettiler.
Zscaler Tehditlabz’dan Manisha Ramcharan Prajapati ve Satyam Singh, “Silentync uzaktan komut yürütme, dosya eksfiltrasyonu ve ekran yakalama yeteneğine sahip.” Dedi. “Silentync ayrıca kimlik bilgileri, geçmiş, otomatik doldurma verileri ve Chrome, Brave, Edge ve Firefox gibi web tarayıcılarından çerezler dahil web tarayıcı verilerini de çıkarır.”
Artık PYPI’dan indirilemeyen paketler aşağıda listelenmiştir. Her ikisi de “Constgapis” adlı bir kullanıcı tarafından yüklendi.
- Sisaws (201 İndirme)
- Secmenease (627 indirme)
Zscaler, Sisaws paketinin Arjantin’in Ulusal Sağlık Bilgi Sistemi Sistema Integrado de Información Sanitaria Argentino (SISA) ile ilişkili meşru Python paketi SISA’nın davranışını taklit ettiğini söyledi.
Bununla birlikte, kütüphanede mevcut, başlatma komut dosyasında (__init__.py) “gen_token ()” adlı bir işlevdir. Bunu başarmak için, giriş olarak sert kodlanmış bir jeton gönderir ve meşru SISA API’sına benzer şekilde ikincil bir statik jeton yanıt alır.
Zscaler, “Bir geliştirici sisaws paketini içe aktarıyorsa ve gen_token işlevini çağırırsa, kod, daha sonra ek bir python komut dosyası almak için kullanılan bir curl komutunu ortaya çıkaran bir onaltılık dizeyi çözecektir.” Dedi. “Pastebin’den alınan Python komut dosyası, geçici bir dizinde Helper.py dosya adına yazılır ve yürütülür.”
Secmenaure, benzer bir şekilde, “dizeleri temizlemek ve güvenlik önlemlerini uygulamak için bir kütüphane” olarak maskelenir, ancak Silentsync sıçanını düşürmek için gömülü işlevselliği taşır.
Silentsync esas olarak bu aşamada Windows sistemlerini enfekte etmeye yöneliktir, ancak kötü amaçlı yazılım aynı zamanda Linux ve macOS için yerleşik özelliklerle de donatılmıştır, pencerelerde kayıt defteri değişiklikleri yapar, sistem başlangıçta yükü yürütmek için Linux’taki crontab dosyasını değiştirir ve macOS’a bir lansman kaydetmiştir.
Paket, sabit kodlu bir uç noktaya bir HTTP GET isteği göndermek için ikincil jetonun varlığına dayanır (“200.58.107[.]25 “) doğrudan bellekte yürütülen python kodu almak için. Sunucu dört farklı uç noktayı destekler –
- /checksin, bağlantıyı doğrulamak için
- /comando, yürütme komutları istemek için
- /Respuesta, durum mesajı göndermek için
- /archivo, komut çıkışı veya çalınan veriler göndermek için
Kötü amaçlı yazılım, tarayıcı verilerini hasat edebilir, kabuk komutlarını yürütebilir, ekran görüntülerini yakalayabilir ve dosyaları çalabilir. Ayrıca dosyaları ve tüm dizinleri zip arşivleri şeklinde de sunabilir. Veriler iletildikten sonra, tüm artefaktlar, algılama çabalarını kaldıracak şekilde ana bilgisayardan silinir.
Zscaler, “Kötü niyetli PYPI paketlerinin keşfi ve Secmenaure, kamu yazılımı depolarında artan tedarik zinciri saldırıları riskini vurgulamaktadır.” Dedi. Diyerek şöyle devam etti: “Tehdit aktörleri yazım hatası ve taklit ederek, kişisel olarak tanımlanabilir bilgilere (PII) erişebilirler.”