Check Point Research, görüntü dosyalarının içinde kötü amaçlı kodu gizlemek için steganografi kullanan kötü amaçlı bir açık kaynak kod paketi tespit etti.
Kötü amaçlı paket, Python geliştiricileri tarafından yaygın olarak kullanılan bir paket dizini olan PyPI’de mevcuttu. Bu konuda bilgilendirildikten sonra, PyPI’nin koruyucuları kötü amaçlı paketi kaldırdı.
Kötü amaçlı paket apicolor, PyPI’de bulunan birçok geliştirme paketinden birine benziyor. Başlık, paketin “REST API için çekirdek kütüphane” olduğunu belirtir. apicolor için paket kurulum komut dosyası, Web’den bir resim ile birlikte ek paketleri (istekler ve judyb) indirmek için talimatlar içerir. Komut dosyası daha sonra, görüntü dosyasının içinde gizlenen kötü amaçlı kodu ortaya çıkarmak ve yürütmek için judyb’deki steganografi yeteneklerini kullanır. Kötü amaçlı kod, kötü amaçlı yazılımı Web’den indirir ve kullanıcının makinesine yükler.
Etki minimum görünüyor – Check Point Research, kodlarında apicolor ve judyb dahil olmak üzere yalnızca üç GitHub kullanıcısı ve kötü amaçlı paketleri içeren 80’den biraz fazla proje buldu. Ekip, enfeksiyon yönteminin, bu açık kaynaklı projelere rastlayan ve bunları makinelerine yükleyen kişilere “kötü amaçlı bir paket içe aktarma getirdiğini bilmeden” dayandığını söyledi.
Daha önemli paket servisi olan restoran? “Bu bulgular, PyPI üzerindeki şaşırtma tekniklerinin geliştiğini kanıtlayan bir tehdit aktörünün dikkatli planlamasını ve düşüncesini yansıtıyor.” Check Point Research ekibin blogunda yazdı.
Saldırganlar artık sadece mevcut paketleri kopyalayıp yeniden adlandırma ve kötü amaçlı kodu içeride saklama stratejisine güvenmiyor. Bunun yerine, araştırma ekibine göre, belirli türde kullanıcıları hedefliyorlar – genellikle evden çalışanlar ve yan projeler için kurumsal makineler kullananlar.