Araştırmacılar, Python programlama dilinin resmi, halka açık deposu olan Python Paket Dizininde (PyPI) açıkta bir bilgi hırsızının reklamını yapan kötü amaçlı yazılım satıcılarını keşfettiler.
Sonatype araştırmacılarının SylexSquad adlı İspanya merkezli bir hizmet olarak kötü amaçlı yazılım (MaaS) çetesiyle ilişkilendirdiği failler, programlarına çok da ince olmayan bir ad verdiler: “ters kabuk.” Ters kabuklar, bilgisayar korsanlarının komutları uzaktan çalıştırmak ve hedeflenen bilgisayarlardan veri almak için yaygın olarak kullandıkları programlardır.
Sonatype’ta geliştirici savunucusu olan Dan Conn, “Bence bu konuda oldukça komik olan şey, çok bariz olması,” diyor. “Belki de SylexSquad kendilerinin reklamını yapıyordu ya da yakalanmayı umursamıyorlardı.”
Ancak, yüzsüzlükleri burada bitmiyor.
‘Ters kabuklu’ Veri Soygunu Kötü Amaçlı Yazılımının İçinde
Sonatype araştırmacıları, halka açık bir foruma yüklenmiş “reverse-shell” adlı bir paket bulduklarında iki kez aldılar. “Neden birisi kötü amaçlı bir paketi bu kadar bariz bir şekilde adlandırsın?” araştırmacılar merak ettiler Kötü Amaçlı Yazılım Aylık blog gönderisi.
Programın aslında ters bir kabuktan çok daha fazlası olduğu ortaya çıktı. Bu, araştırmacılar “WindowsDefender.py” adlı dosyalarından birini incelediklerinde netleşti.
WindowsDefender.py, get_login_data(), get_web_history(), get_downloads(), get_cookies(), get_credit_cards() ve ImageGrab.grab() gibi açıkça adlandırılmış çeşitli işlevler içerir. Temaya göre, bilgisayar korsanları niyetlerini gizlemek için çok uğraşmamışlardı: Bu, bilgi çalmak için tasarlanmış bir kötü amaçlı yazılımdı.
“Kabartma olmadan, [this] Analize göre … virüs bulaşmış makinede komutları yürüten ve eylemler gerçekleştiren bir Discord botu gibi görünüyor. Kötü amaçlı yazılım çerezleri alabilir, ekran görüntüleri alabilir, kabuk komutlarını çalıştırabilir, tarama geçmişini çalabilir ve tüm bu verileri saldırganın Discord kanalı.”
Diğer yanıtlar “setup.py” adlı başka bir dosyada bulunur. Burada, “GitHub deposunu klonla ve dosyayı çalıştır”, “GitHub deponuzun URL’siyle değiştir” ve “repoyu klonlamak istediğiniz yol” için birkaç İspanyolca talimat vardı – ters kabuğun bir MaaS olduğunun bir göstergesi ürün.
Daha fazla araştırma, koda dağılmış birden fazla “Made by SylexSquad” etiketini ortaya çıkardı ve bunların bazıları hafifçe gizlenmişti. Sylex EkibiAraştırmacılar, 2022’de Sellix e-ticaret platformu üzerinde faaliyet gösteren bir bilgisayar korsanlığı pazarı olduğunu keşfetti. O zamandan beri kapatıldı.
Halka açık bir depoda bu kadar açık bir şekilde yayınlamak, grubun kasıtlı olarak ürünlerine dikkat çekmesinin bir yolu olabilir. “Anonim, LulzSec veya Killnet gibi grupları nasıl bilebiliriz?” Conn retorik bir şekilde soruyor. “Çünkü itibar kazanıyorlar.”
Ancak PyPI onlar için bundan çok daha fazla değer taşıyor.
Bilgisayar Korsanları Neden Genel Depoları Kullanıyor?
SylexSquad saldırganları, PyPI ve GitHub gibi forumları kullanan tek suçlular değil ve Sonatype’a göre bu tür küstahlığın birçok nedeni var.
Araştırmacılar, bloglarında “Kötü amaçlı dosyaları halka açık bir depoda barındırmak, kötü niyetli kişilerin onlar üzerinde daha fazla kontrol sahibi olmalarını sağlar” dedi. “Onlara, yükü silme, yükseltme ve hatta sürüm kontrolü yapma gücü veriyor.”
Conn, diğer faydaların yanı sıra, “kötü amaçlı yazılımın çok daha geniş çapta paylaşılmasına izin veriyor” ve özellikle, gerçek baytlar gibi genel imzaları depolamak için kullanan birçok antivirüs yazılımını tetikleyebilir. bir şey kötü niyetli ya da değil.”
Başka bir deyişle, bilgisayar korsanları kötü amaçlı yazılımları (antivirüs tarayıcılarının hızla yakalayabileceği) önceden teslim etmek yerine, kötü niyetli kodlarına başka bir yerden bağlanabilir: “Bir GitHub’a bağlantı sağlayarak, belki de bu kontrolü atlıyorlar””” notlar.
Genel depolar, bilgisayar korsanları için bir merkez haline gelmemek için koruyucu önlemlere sahiptir. Yine de, en iyi tarayıcılar ve moderatörler bile mükemmel değildir ve aynı anda her yerde olamazlar.
Sonatype güvenlik araştırmacısı Juan Aguirre, “Hackerlar, otomatik motorların algılamasını biraz daha zorlaştırmak için barındırdıkları kodu kodlamak veya başka bir şekilde gizlemek gibi belirli önlemler alıyor.” Bu durumda SylexSquad, kötü amaçlı betiklerini her karaktere karşılık gelen kolayca tersine çevrilebilen ASCII kodlarını kullanarak sayılar olarak kodladı.
Bu durumda Sonatype, paketi PyPI bakımcılarına bildirdi ve paket kaldırıldı. Aguirre, “Bu sadece bir kedi fare oyunu” diyor. “Birisi onları yakalar ve bir sonraki noktaya koşarlar.”
Aguirre, bu hikayeyi açık kaynaklı yazılımla ilgili daha geniş bir kaygının ışığında değerlendiriyor; kötü amaçlı yazılım yazarları kamuya açık depolarda kullanım buldukları sürece, kuruluşlar ne tür paketler ele geçirebileceklerinin farkında olmalıdır.
“Neyi koştuğunuzu anlamak önemlidir,” diye bitiriyor sözlerini. “Bu, bunun için harika bir durum. Bir malzeme listeniz olmalı, ne yaptığınızı ve hangi bağımlılıkları kullandığınızı bilmelisiniz. Eğer körü körüne bir şeyler kuruyor ve kod kapıyorsanız, Bakın, bunun gibi şeyler kolayca sisteminize girebilir.”