Tersine döner dbgpkgGizlice geri çekilen sahte bir python hata ayıklayıcısı veri çalmak için. Araştırmacılar, Ukrayna yanlısı bir hacktivist grubun PYPI deposuna yapılan saldırının arkasında, özellikle Rus geliştiricileri tarafından kullanılanlardan şüpheleniyor.
ReversingLabs (RL) ‘deki siber güvenlik araştırmacıları, yeni bir kötü niyetli python paketi keşfettiler. dbgpkgbu bir hata ayıklama aracı olarak maskelenir ancak bunun yerine geliştiricilerin sistemlerine bir arka kapı yükler. Bu arka kapı, saldırganların kötü niyetli kod çalıştırmasına ve hassas bilgiler çalmasına olanak tanır. Kullanılan teknikleri analiz ederek RL, Ukrayna’yı desteklemek için Rus çıkarlarını hedeflediği bilinen bir hacktivist grubun dahil olabileceğinden şüpheleniyor.
Sofistike arka kapı sinsi python hileleri kullanır
Bildirildiğine göre, dbgpkg Salı günü RL Tehdit Araştırma Ekibi tarafından tespit edilen paket, gerçek bir hata ayıklama özelliği içermiyordu. Bunun yerine, geliştiricileri bir arka kapı yüklemeye ve geliştirme makinelerini etkili bir şekilde tehlikeye atılmış varlıklara dönüştürmek için tasarlanmıştır.
Ne yaptı “dbgpkg”Özellikle dikkat çekici olan, arka kapıyı implante etmek için sofistike yöntemiydi. Kurulum üzerine, paketin kodu standart python ağ araçlarının davranışını akıllıca değiştirir (talepler Ve soket modüller) “fonksiyon sarma” veya “dekoratörler” adı verilen bir teknik kullanarak. Bu, kötü amaçlı kodun bu ağ işlevleri geliştirici tarafından kullanılana kadar gizli kalmasını sağlar.
Hackread.com ile paylaşılan RL’nin soruşturmasına göre, kötü amaçlı sarmalayıcı kodu önce arka kapının zaten mevcut olup olmadığını görecek belirli bir dosyayı kontrol eder. Değilse, üç komut yürütür. Birincisi çevrimiçi Pastebin hizmetinden genel bir anahtar indirir.
İkincisi, güvenlik duvarlarını atlamak için tasarlanmış Global Socket Araç Seti adlı bir aracı yükler ve arka kapıya bağlanmak için gereken bir sırrı şifrelemek için indirilen anahtarı kullanır. Üçüncü komut daha sonra bu şifreli sırrı özel bir çevrimiçi yere gönderir. Bu çok aşamalı işlem, güvenilir modüllerde fonksiyon ambalajlarının kullanılması, kötü amaçlı etkinliğin tespit edilmesini zorlaştırır.
Önceki Ukrayna yanlısı etkinliğe bağlantılar
RL araştırmacıları arasında benzerlikler buldular. dbgpkg Daha önce 2022’den beri aktif olan ve Rus kuruluşlarını hedeflemek için bilinen Phoenix Handen Hacktivist Grubu tarafından daha önce istihdam edilen arka kapı ve kötü amaçlı yazılım.
Bu grup genellikle telgraf kanalı “Dumpforums” hakkında gizli bilgiler çalıyor ve sızıyor. Bu gruba bağlı önemli bir olay, Eylül 2024’te Rus siber güvenlik firması Dr. Web’in ihlali iddiasıydı.
Başka bir benzerlik, aynı kampanyada yer alan daha önceki kötü niyetli bir paketti. discordpydebug (Mayıs ayı başlarında soketle keşfedildi), daha önceki bir versiyonla aynı arka kapıya sahip dbgpkg. Discord Bot geliştiricileri için bir hata ayıklama aracı olarak poz veren Discordpydebug, Rusya’nın Mart 2022’de Ukrayna’yı işgal etmesinden kısa bir süre sonra yüklendi. Başka bir paket, requestsdevayrıca bu kampanyanın bir parçası ve aynı muhtemel kimliğe bürünmüş yazar tarafından yüklendi ([email protected]popüler geliştirici Cory Benfield), aynı kötü amaçlı yükü içeriyordu.
Bununla birlikte, RL araştırmacıları bu kampanyayı, bir taklitçi çalışması olabileceğinden, arka kapı tekniklerine dayanarak Phoenix Hidena’ya kesin olarak atfetemedi. Bununla birlikte, ilgili kötü niyetli paketlerin zaman çizelgesi, kalıcı bir tehdit oyuncusu tarafından siyasi olarak motive olmuş bir operasyon önermektedir.
Araştırmacılar, “Ve, jeopolitik gerilimler ve Rusya ve Ukrayna arasındaki devam eden düşmanlık tarafından yönlendirilen bir kampanya ile RL araştırmacıları, bu kampanyanın bir parçası olarak daha kötü niyetli paketlerin neredeyse kesin olduğuna inanıyorlar.