Adına göre bir tehdit aktörü Lolip0p güvenliği ihlal edilmiş geliştirici sistemlerine kötü amaçlı yazılım bırakmak için tasarlanmış üç hileli paketi Python Paket Dizini (PyPI) deposuna yükledi.
Paketler – adlı renkler lib (sürüm 4.6.11 ve 4.6.12), httpslib (sürüm 4.6.9 ve 4.6.11) ve libhttps (sürüm 4.6.12) – yazar tarafından 7 Ocak 2023 ile 12 Ocak 2023 arasında. O zamandan beri PyPI’den çekildiler, ancak toplamda 550’den fazla kez indirilmeden önce değil.
Modüller, PowerShell’i çağırmak ve kötü amaçlı bir ikili (” “Oxzy.exe“) Dropbox, Fortinet’te barındırılıyor ifşa geçen hafta yayınlanan bir raporda.
Yürütülebilir dosya bir kez çalıştırıldığında, bir sonraki aşamanın, yine adında bir ikili dosyanın alınmasını tetikler. güncelleme.exeWindows geçici klasöründe (“%USER%AppDataLocalTemp”) çalışır.
update.exe, VirusTotal’daki virüsten koruma satıcıları tarafından, biri Microsoft tarafından tespit edilen ek ikili dosyaları da bırakabilen bir bilgi hırsızı olarak işaretlenmiştir. Wacatac.
Windows yapımcısı tarif eder truva atını, “kötü niyetli bir bilgisayar korsanının PC’nizde tercih ettiği bir dizi eylemi gerçekleştirebilen” bir tehdit olarak; fidye yazılımı ve diğer yükler.
Fortinet FortiGuard Labs araştırmacısı Jin Lee, “Yazar ayrıca ikna edici bir proje açıklaması ekleyerek her paketi meşru ve temiz olarak konumlandırıyor” dedi. “Ancak, bu paketler kötü amaçlı bir ikili yürütülebilir dosyayı indirip çalıştırıyor.”
İfşaat, Fortinet’in diğer iki haydut paketi ortaya çıkarmasından haftalar sonra geldi. gölgelendirici ve aioconsol hassas kişisel bilgileri toplamak ve sızdırmak için benzer yetenekler barındıran.
Bulgular bir kez daha popüler açık kaynak paket havuzlarında kaydedilen kötü amaçlı faaliyetlerin sürekli akışını gösteriyor; burada tehdit aktörleri, bulaşmaların erişimini artırmak ve genişletmek için lekeli kod yerleştirmek için güven ilişkilerinden yararlanıyor.
Kullanıcıların, tedarik zinciri saldırılarının tuzağına düşmekten kaçınmak için güvenilmeyen yazarların paketlerini indirirken ve çalıştırırken dikkatli olmaları önerilir.