Şüphesiz kullanıcılardan kimlik bilgilerini çalmak için sosyal medya, bloglama veya mesajlaşma hizmetleri için görünüşte zararsız otomasyon araçları olarak poz vererek Rubygems ekosistemini hedefleyen yeni bir 60 kötü amaçlı paket seti ortaya çıktı.
Yazılım tedarik zinciri güvenlik şirketi soketine göre, etkinliğin en azından Mart 2023’ten beri aktif olduğu değerlendirilmektedir. Kümülatif olarak, mücevherler 275.000’den fazla indirildi.
Bununla birlikte, her indirme işleminde her indirme sonuçlanmadığından, rakamın gerçek uzlaştırılmış sistem sayısını doğru bir şekilde temsil etmeyebileceğini belirtmektedir ve bu mücevherlerin birçoğu tek bir makineye indirilmiş olabilir.
Güvenlik araştırmacısı Kirill Boychenko, “En azından Mart 2023’ten bu yana, Zon, Nowon, Kwonsoonje ve Soonje takma adlarını kullanan bir tehdit oyuncusu, Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao için otomasyon araçları olarak poz veren 60 kötü niyetli mücevher yayınladı.
Belirlenen GEM’ler, toplu gönderme veya katılım gibi vaat edilen işlevselliği sunarken, kullanıcıların kimlik bilgilerini girmek için basit bir grafik kullanıcı arayüzü görüntüleyerek tehdit aktörünün kontrolü altındaki harici bir sunucuya kullanıcı adlarını ve şifreleri sunmak için gizli işlevselliği de barındırdılar.
Njongto_duo ve Jongmogtolon gibi bazı mücevherler, finansal tartışma platformlarına odaklanmak için dikkate değerdir, kütüphaneler, görünürlüğü arttırmak ve kamu algısını manipüle etmek için yatırımla ilgili forumları taşkınlık, stok anlatıları ve sentetik katılımla birlikte pazarlanan kütüphaneler ile dikkate değerdir.
Yakalanan bilgileri almak için kullanılan sunucular arasında Programzon[.]com, Appspace[.]KR ve Marketingduo[.]ortak[.]Kr. Bu alanların toplu mesajlaşma, telefon numarası kazıma ve otomatik sosyal medya araçlarının reklamını aldığı bulunmuştur.
Kampanyanın kurbanlarının, spam, arama motoru optimizasyonu (SEO) ve yapay etkileşimi artıran katılım kampanyalarını çalıştırmak için bu tür araçlara güvenen gri şapka pazarlamacıları olması muhtemeldir.
Socket, “Her mücevher, Koreli dil UI’leri ve .KR alanlarına verildiği gibi, Güney Koreli kullanıcılara yönelik bir Windows-hedefli Infostealer olarak işlev görüyor.” Dedi. Diyerek şöyle devam etti: “Kampanya, olgun ve kalıcı bir operasyon olduğunu düşündüren birden fazla takma ad ve altyapı dalgasında gelişti.”
Diyerek şöyle devam etti: “Otomasyon odaklı Grey-HAT kullanıcılarına pazarlanan mücevherlere kimlik hırsızlığı işlevselliğini yerleştirerek, tehdit oyuncusu, meşru görünen etkinliğe karışırken gizli bir şekilde hassas verileri yakalar.”
Geliştirme, GitLab’ın Python Paket Dizini (PYPI) üzerinde, meşru stoping fonksiyonlarını kaçırarak bittensor cüzdanlarından kripto para birimini çalmak için tasarlanmış birden fazla yazılış paketi tespit ettiği gibi geliyor. Bittensor ve Bittensor -Cli’yi taklit eden Python kütüphanelerinin isimleri aşağıdadır –
- Bitensor (sürüm 9.9.4 ve 9.9.5)
- Bittens-cli
- Qbittensor
- hemen
Gitlab’ın kırılganlık araştırma ekibi, “Saldırganlar, hesaplanan nedenlerle özellikle kazık operasyonlarını hedefliyor gibi görünüyor.” Dedi. Diyerek şöyle devam etti: “Saldırganlar, meşru görünümlü biriken işlevsellik içinde kötü niyetli kodları gizleyerek rutin blockchain operasyonlarının hem teknik gereksinimlerini hem de kullanıcı psikolojisini kullandılar.”
Açıklama ayrıca PYPI bakımcılarının Python paket montajcılarını ve müfettişleri zip ayrıştırıcı uygulamalarından kaynaklanan karışıklık saldırılarından güvence altına almaya uygulanan yeni kısıtlamaları da takip ediyor.
Farklı bir şekilde, Pypi, Python paketlerini zip karışıklık saldırılarını kullanmaya ve manuel incelemeleri ve otomatik algılama araçlarını geçerek kötü niyetli yükleri kaçırmaya çalışan “tekerlekleri” (fermuar arşivlerinden başka bir şey değildir) reddedeceğini söyledi.
Python Software Foundation’ın (PSF) Seth Michael Larson, “Bu, popüler yükleyici UV’nin Zipfile Standart Kütüphane modülü tarafından sağlanan fermuar uygulamasını kullanan birçok Python tabanlı yükleyiciye farklı bir ekstraksiyon davranışına sahip olduğu keşfine yanıt olarak yapılmıştır.” Dedi.
PYPI, sorunu bildirdiği için Google Açık Kaynak Güvenlik Ekibi’nden Caleb Brown’a ve Netflix’ten Tim Hatch’e kredi verdi. Ayrıca, zip içeriği dahil edilen kayıt meta veri dosyasıyla eşleşmeyen tekerlekler yayınladıklarında kullanıcıları uyaracağını söyledi.
Larsen, “6 aylık uyarılardan sonra, 1 Şubat 2026’da Pypi, fermuar içeriği dahil edilen kayıt meta veri dosyasına uymayan yeni yüklenen tekerlekleri reddetmeye başlayacak.” Dedi.