Python Geliştiricileri Popüler Kitaplıkları Taklit Eden Truva Atlı PyPI Paketlerine Karşı Uyarıldı

23 Şubat 2023Ravie LakshmananYazılım Güvenliği / Tedarik Zinciri Saldırısı

Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposunda bulunan popüler kitaplıkları taklit eden “sahte paketler” konusunda uyarıda bulunuyor.

41 kötü amaçlı PyPI paketinin, HTTP, AIOHTTP, istekler, urllib ve urllib3 gibi yasal modüllerin yazım hatası yapılmış varyantları olduğu tespit edildi.

Paketlerin isimleri şu şekilde:

aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestd, requeste, requestst, ulrlib3, urelib3, urklib3, urlkib3, urllb, urllib33, urolib3, xhttpsp

ReversingLabs araştırmacısı Lucija Valentić, “Bu paketlerin açıklamaları, çoğunlukla kötü niyetlerini ima etmiyor” dedi. söz konusu yeni bir yazımda. “Bazıları gerçek kitaplıklar kılığına girmiş ve yetenekleri ile bilinen, meşru HTTP kitaplıklarının yetenekleri arasında gurur verici karşılaştırmalar yapıyor.”

Ancak gerçekte, ya ikinci aşama kötü amaçlı yazılımları virüslü ana bilgisayarlara iletmek için bir kanal görevi gören indiricileri ya da parolalar ve belirteçler gibi hassas verileri sızdırmak için tasarlanmış bilgi hırsızlarını barındırırlar.

Ayrıca Fortinet ifşa Bu hafta başlarında PyPI’deki benzer hileli HTTP paketleri, trojan indirici bu da sırasıyla bir DLL dosyası (Rdudkye.dll) çeşitli işlevleri bir araya getirir.

Geliştirme, kötü niyetli aktörlerin GitHub, npm, PyPI ve RubyGems gibi açık kaynak havuzlarını geliştirici sistemlerine kötü amaçlı yazılım yaymak ve tedarik zinciri saldırıları düzenlemek için zehirlemeye yönelik en son girişimidir.

Bulgular, Checkmarx’ın kurbanları kimlik avı bağlantılarına yönlendirmek için tasarlanmış açık kaynaklı npm kayıt defterindeki spam paketlerindeki artışı ayrıntılı olarak açıklamasından bir gün sonra geldi.

Valentić, “Diğer tedarik zinciri saldırılarında olduğu gibi, kötü niyetli aktörler, karışıklık yaratan yazım hatalarına ve dikkatsiz geliştiricilerin benzer adlara sahip kötü amaçlı paketleri kazara kucaklayacaklarına güveniyor” dedi.