Siber güvenlik araştırmacıları, daha geniş bir kampanyanın parçası olarak kripto para birimi hırsızlığını kolaylaştırmak için Python Paket Dizini (PyPI) deposunda keşfedilen yeni bir kötü amaçlı Python paketi konusunda uyardı.
Söz konusu paket, yazının yazıldığı an itibarıyla 316 kez indirilen pytoileur’dur. İlginç bir şekilde, PhilipsPY adını alan paket yazarı, 28 Mayıs 2024’te PyPI bakımcıları tarafından önceki bir sürümün (1.0.1) kaldırılmasının ardından paketin aynı işlevselliğe sahip yeni bir sürümünü (1.0.2) yükledi.
Sonatype tarafından yayınlanan bir analize göre, kötü amaçlı kod, paketin setup.py betiğine yerleştirilmiş ve harici bir sunucudan bir Windows ikili dosyasının alınmasından sorumlu olan Base64 kodlu bir yükün çalıştırılmasına olanak tanıyor.
Güvenlik araştırmacısı Ax Sharma, “Geri alınan ikili dosya ‘Runtime.exe’ daha sonra sistemdeki Windows PowerShell ve VBScript komutlarından yararlanılarak çalıştırılıyor” dedi.
İkili program kurulduktan sonra kalıcılık sağlar ve web tarayıcılarından ve kripto para birimi hizmetlerinden veri toplayabilen casus yazılımlar ve hırsız kötü amaçlı yazılımlar da dahil olmak üzere ek yükleri bırakır.
Sonatype ayrıca, kullanıcıların soru-cevap platformundaki sorgularına yanıt veren ve onları sorunlarına sözde bir çözüm olarak sahte pytoileur paketini yüklemeye yönlendiren “EstAYA G” adlı yeni oluşturulmuş bir StackOverflow hesabını da tespit ettiğini söyledi.
“Günlüklere erişimi olmayan internet platformlarındaki takma adlı kullanıcı hesaplarını değerlendirirken kesin atıf yapmak zor olsa da, bu kullanıcı hesaplarının her ikisinin de yakın zamandaki yaşı ve tek amaçlarının kötü amaçlı Python paketini yayınlamak ve tanıtmak olması bize bunların birbiriyle bağlantılı olduğuna dair iyi bir gösterge veriyor.” Bu kampanyanın arkasında aynı tehdit aktörleri var” dedi Sharma, The Hacker News’e.
Bu gelişme, güvenilir bir platformun kötü amaçlı yazılımların yayılma vektörü olarak kötüye kullanılması nedeniyle yeni bir artışa işaret ediyor.
Sonatype ayrıca The Hacker News ile paylaştığı bir açıklamada, “Böylesine güvenilir bir platformun kötü niyetli kampanyalar için bir üreme alanı olarak kullanılarak benzeri görülmemiş bir şekilde açık bir şekilde kötüye kullanılması, küresel çaptaki geliştiriciler için büyük bir uyarı işaretidir.” dedi.
“StackOverflow’un uzlaşması özellikle endişe verici, hâlâ öğrenen, soru soran ve kötü niyetli tavsiyelere kanabilecek çok sayıda acemi geliştiriciye sahip.”
Paket meta verilerinin ve yazarlık geçmişinin daha yakından incelenmesi, Kasım 2023’te Checkmarx tarafından açıklanan, Pystob ve Pywool gibi sahte Python paketlerini içeren önceki bir kampanyayla çakışmaları ortaya çıkardı.
Bulgular, açık kaynak ekosistemlerinin, tedarik zinciri saldırısı olarak adlandırılan yöntemle Bladeroid gibi bilgi hırsızları ve diğer kötü amaçlı yazılımlarla birden fazla hedefi aynı anda tehlikeye atmak isteyen tehdit aktörleri için neden bir mıknatıs olmaya devam ettiğinin bir başka örneğidir.