“WS” olarak tanımlanan bir PyPI kötü amaçlı yazılım yazarının, araştırmacılar tarafından hem Windows hem de Linux cihazlarını etkileyen kötü amaçlı paketleri PyPI’ye gizlice yüklediği keşfedildi.
Zamanla kötü amaçlı yazılım yazarı, her biri benzersiz yük karmaşıklığına sahip birden fazla bilgi çalma paketini PyPI kitaplığına dağıtır. Yalnızca tespit edilen paketlere bakıldığında 2000’den fazla “WS” kurbanının olabileceği tahmin ediliyor.
Birkaç ay içinde, bu özel kötü amaçlı yazılım yazarının örneği gün ışığına çıktı ve bu da meydana gelen önemli miktardaki yıkımı gösteriyor.
Python topluluğu, uygulamaların hızlı bir şekilde geliştirilmesine veya güncellenmesine yardımcı olmak için açık bir yazılım paketleri deposu olan Python Paket Dizinini (PyPI) oluşturdu.
PyPI’ye yüklenen paketlerin çoğu Python topluluğunu tanıtmak isteyen özel kişiler tarafından yüklense de, kötü amaçlı paketler de sıklıkla tehdit aktörleri tarafından sağlanmaktadır.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
PyPI’de Gizli Bilgi Çalma Paketleri
Fortinet’e göre “WS” yazarının yayınladığı tespit edilen paketler şöyle:
- zenci
- figflix
- iletişim kurar
- seGMM
- fbdebug
- sGMM
- benimgenlerim
- Yeni Cinsler
- TestLibs111
Bunlar, Checkmarx’ın dört ay önce yayınlanan bir blog yazısında açıklananlara benzer saldırı tekniklerini gösteriyor.
Benzerlik, 2023 başlarındaki zararlı çabalarla bağlantı olasılığını artırıyor. Bu paketlerdeki setup.py dosyaları, PE veya diğer Python komut dosyaları için base64 kodlu kaynak kodunu içerir.
Son kötü amaçlı veri, kurban cihazların işletim sistemine bağlı olarak bu Python paketleri yüklendiğinde bırakılır ve yürütülür.
Aralık 2023’ten önce piyasaya sürülen paketler, özellikle Linux sistemlerinden veri çalmayı veya bir Windows kurbanı durumunda Whitesnake PE olarak bilinen kötü amaçlı yazılımı dağıtmayı amaçlayan bir Python komut dosyasını iletebilir.
“Python betiğinin çalınan verileri iletmek için kullandığı yeni yöntemde ince bir ayrım yatıyor. Bu yeni kötü amaçlı yazılım çeşitleri, tek bir sabit URL’ye güvenmek yerine hedef olarak bir dizi IP adresi kullanıyor ve bu da muhtemelen bir sunucu arızalansa bile başarılı veri aktarımını garantiliyor”, diye belirtti Fortinet, Cyber Security News ile paylaştı.
myGens ve NewGends Paketlerinin PE Yükü analiz edilir. Kullanıcının ana bilgisayar kimlik bilgileri ve IP adresi de dahil olmak üzere kullanıcı verilerini toplamaya çalışır.
Bu en yeni paket seti, hem Linux hem de Windows kullanıcılarına yönelik önceki saldırıların aksine, öncelikle Windows kullanıcılarını hedef alıyor. Her paketin çalıştırılabilir yükü biraz farklı olsa da hepsi kurbanlardan gizli verileri çalmaya çalışıyor.
Öneri
Açık kaynak paketleri kullanırken, kullanıcılara son derece dikkatli davranmaları ve hedeflenen cihazları bilgi hırsızlığına karşı savunmasız bırakabilecek hiçbir zararlı içerik veya veri yükünün mevcut olmadığından emin olmaları tavsiye edilir.