Phylum’dan siber güvenlik araştırmacıları, gizlemek için Unicode kullanan bir PyPI paketinde yeni bir kötü amaçlı yazılım biçimi buldular.
Unicode, farklı diller ve komut dosyaları için kullanılan, 100.000’den fazla karakteri kapsayan ve amacı karakterlerin elektronik ve dijital cihazlarda görüntülenme şeklini basitleştirmek ve düzene sokmak olan küresel bir kodlama standardıdır. Unicode ile her harf, rakam ve sembol, kullanılan program veya platformdan bağımsız olarak aynı kalan benzersiz bir sayısal değer elde eder.
Kötü amaçlı yazılımın adı “onyxproxy”, geliştirici oturum açma kimlik bilgilerini ve kimlik doğrulama belirteçlerini arayan bir bilgi hırsızıdır. Kapatılmadan önce bir hafta boyunca PyPI’da mevcuttu ve bu süre zarfında 183 indirme almayı başardı, bu da 183’e kadar farklı geliştiricinin kimlik bilgileri ve kimlik hırsızlığı riski altında olduğu anlamına geliyor.
Görünürde saklanmak
Kötü amaçlı yazılım, araştırmacılara göre Unicode karakterlerin bir kombinasyonunu kullanan “binlerce” şüpheli kod dizisine sahip “setup.py” adlı bir paket taşıyor.
Yüzeyden bakıldığında karakterler normal ve iyi huylu görünüyor – ancak insan gözünün gördüğü ile programın gördüğü çok farklı iki şey.
Onyxproxy’de üç kritik tanımlayıcı vardır: “__import__”, “subprocees” ve “CryptoUnprotectData”. Araştırmacılar, bunların çok sayıda değişkene sahip olduğunu ve bu da onları dizi eşleştirme tabanlı savunmaları yenmek için ideal kıldığını açıklıyor.
Teknik kulağa karmaşık gelse de, araştırmacılar bunun tam olarak karmaşık olmadığını iddia ediyor. Ancak, kötü amaçlı Python’u gizlemek için Unicode’un kötüye kullanılması (yeni sekmede açılır) kod bir trend haline gelirse endişe kaynağı olabilir.
“Ancak, bu yazar bu gizlenmiş kodu kimden kopyaladıysa, Python yorumlayıcısının içindekileri yeni bir tür gizlenmiş kod oluşturmak için nasıl kullanacağını bilecek kadar zeki, kodun tam olarak ne olduğunu çok fazla açıklamadan bir şekilde okunabilen bir tür. çalmaya çalışıyor,” diye bitiriyor Phylum.
- İşte şu anda en iyi kötü amaçlı yazılım temizleme araçları
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)