Devam eden kötü amaçlı yazılım tedarik zinciri kampanyasının bir parçası olarak Paket Dizini (PyPI) deposunda üç ek hileli Python paketi keşfedildi. VMConnectKuzey Kore devleti destekli tehdit aktörlerinin olaya karıştığı yönünde işaretler var.
bulgular tablediter, request-plus ve requestpro paketlerini tespit eden ReversingLabs’tan geliyor.
İlk olarak şirket ve Sonatype tarafından ayın başında açıklanan VMConnect, bilinmeyen bir ikinci aşama kötü amaçlı yazılımı indirmek için popüler açık kaynaklı Python araçlarını taklit eden bir Python paketleri koleksiyonunu ifade ediyor.
En son dilim de farklı değil; ReversingLabs, kötü aktörlerin paketlerini gizlediklerini ve Prettytable ve istekleri taklit etmek ve geliştiricilerin kafasını karıştırmak için yazım hatası tekniklerini kullanarak onları güvenilir görünmelerini sağladıklarını belirtiyor.
Tablediter’ın içindeki hain kod, uzak bir sunucunun Base64 kodlu bir veriyi almak ve yürütmek için periyodik olarak yoklandığı sonsuz bir yürütme döngüsünde çalışacak şekilde tasarlanmıştır. Yükün kesin niteliği şu anda bilinmiyor.
Tablediter’da getirilen ana değişikliklerden biri, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için artık kötü amaçlı kodu paketin kurulumundan hemen sonra tetiklememesidir.
Güvenlik araştırmacısı Karlo Zanki, “Belirlenen paketin içe aktarılmasını ve işlevlerinin ele geçirilen uygulama tarafından çağrılmasını bekleyerek, tek bir ortak, davranış temelli tespit türünden kaçınıyorlar ve olası savunucular için çıtayı yükseltiyorlar” dedi.
Diğer iki paket olan request-plus ve requestpro, virüs bulaşmış makine hakkında bilgi toplama ve bunu bir komuta ve kontrol (C2) sunucusuna aktarma becerisini içeriyor.
Bu adımın ardından sunucu, virüslü ana bilgisayarın aynı C2 sunucusundaki farklı bir URL’ye geri gönderdiği bir belirteçle yanıt verir ve sonuçta karşılığında çift kodlu bir Python modülü ve bir indirme URL’si alır.
Kodu çözülen modülün, kötü amaçlı yazılımın bir sonraki aşamasını sağlanan URL’den indirdiğinden şüpheleniliyor.
Kuzey Kore’ye Giden Karmaşık Bağlantılar Ağı
Radarın altından uçmak için jeton tabanlı bir yaklaşımın kullanılması, Phylum’un Haziran ayında açıkladığı ve o zamandan beri Kuzey Koreli aktörlerle ilişkilendirilen bir npm kampanyasını yansıtıyor. Microsoft’un sahibi olduğu GitHub, saldırıları TraderTraitor veya UNC4899 olarak da bilinen Jade Sleet adlı bir tehdit aktörüne bağladı.
TraderTraitor, kar amaçlı hack planlarında Kuzey Kore’nin önde gelen siber silahlarından biridir ve finansal kazanç için kripto para birimi şirketlerini ve diğer sektörleri hedefleme konusunda uzun ve başarılı bir geçmişe sahiptir.
Potansiyel bağlantılar, bunun, saldırganların belirli filtreleme kriterlerine dayalı olarak ikinci aşama bir kötü amaçlı yazılımı seçerek yaymak için benimsediği ortak bir taktik olma olasılığını artırıyor.
Kuzey Kore ile olan bağlantılar, npm mühendislik kampanyası ile JumpCloud hack’i arasında altyapı çakışmalarının keşfedilmesi gerçeğiyle de doğrulanıyor. Haziran 2023.
Dahası ReversingLabs, VMConnect paketinde bulunanlara çok benzeyen kötü amaçlı işlevler içeren py_QRcode adlı bir Python paketi bulduğunu söyledi.
py_QRcode’un, Mayıs 2023’ün sonlarında kripto para borsası şirketlerinin geliştiricilerini hedef alan ayrı bir saldırı zincirinin başlangıç noktası olarak kullanıldığı söyleniyor. JPCERT/CC, geçen ay bunu SnatchCrypto (diğer adıyla diğer) kod adlı başka bir Kuzey Kore etkinliğine bağladı. CryptoMimic veya TehlikeliŞifre).
Ajans, “Bu Python kötü amaçlı yazılımı Windows, macOS ve Linux ortamlarında çalışıyor ve işletim sistemi bilgilerini kontrol ediyor ve buna bağlı olarak enfeksiyon akışını değiştiriyor” dedi. söz konusuaktörün çeşitli platformlarla geliştirici ortamını hedefleme konusunda benzersiz olduğunu tanımlıyor.
Dikkate değer bir diğer husus ise macOS sistemlerine yönelik saldırıların, ilk kez Haziran 2023’te ortaya çıkan yeni bir arka kapı olan JokerSpy’ın konuşlandırılmasıyla sonuçlanmasıdır.
Hepsi bu değil. Haziran 2023’te siber güvenlik firması SentinelOne, adlı başka bir kötü amaçlı yazılım parçasını ayrıntılı olarak açıkladı. QRLog py_QRcode ile aynı işlevselliğe sahip olan ve www.git-hub alanına referans veren[.]Ben de bunun JokerSpy enfeksiyonuyla bağlantılı olduğu görüldü.
Güvenlik araştırmacısı Phil Stokes, “JokerSpy saldırıları, Python, Java ve Swift gibi birçok farklı dilde işlevsel kötü amaçlı yazılım yazma ve birden fazla işletim sistemi platformunu hedefleme yeteneğine sahip bir tehdit aktörünü ortaya çıkarıyor.” kayıt edilmiş o zaman.
QRLog kötü amaçlı yazılımını ilk tespit eden siber güvenlik araştırmacısı Mauro Eldritch, söz konusu Bubi tuzaklı QR kod oluşturucu uygulamasının, kötü şöhretli Lazarus Grubu’nun bir alt kümesi olan Labyrinth Chollima olarak bilinen bir düşmanın işi olduğunu gösteren kanıtlar var.
Zanki, “Bu, PyPI deposu kullanıcılarını hedef alan bir dizi kötü niyetli saldırıdan sadece bir tanesi” dedi ve “tehdit aktörleri, kötü amaçlı yazılımları için bir dağıtım noktası olarak Python Paket Dizini (PyPI) deposunu kullanmaya devam ediyor” diye ekledi.