Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposuna yüklenen, Lumma (aka LummaC2) adı verilen bir bilgi hırsızı sunmak üzere tasarlanmış kötü amaçlı bir Python paketi keşfettiler.
Söz konusu paket, crytic-compilers adlı meşru bir kütüphanenin yazım hatası yapılmış bir versiyonudur. Kritik derleme. Hileli paket şuydu 441 kez indirildi PyPI bakımcıları tarafından kaldırılmadan önce.
“Sahte kütüphane bu bakımdan ilginçtir, ayrıca [to] Adını meşru Python yardımcı programı ‘crytic-compile’dan alan bu yazılım, sürüm numaralarını gerçek kitaplıkla aynı hizaya getiriyor.” Sonatype güvenlik araştırmacısı Ax Sharma söz konusu.
“Gerçek kitaplığın en son sürümü 0.3.7’de dururken, sahte ‘kritik derleyiciler’ sürümü tam burada başlayıp 0.3.11’de bitiyor; bu da bileşenin daha yeni bir sürümü olduğu izlenimini veriyor.”
Hileye devam etmek için yapılan başka bir girişimde, crytic-derleyicilerin bazı sürümlerinin (örneğin, 0.3.9) setup.py betiğinde yapılan bir değişiklik yoluyla gerçek paketi yüklediği bulundu.
Ancak en son sürüm, işletim sisteminin Windows olup olmadığını belirleyerek iyi niyetli bir kitaplık iddiasını ortadan kaldırır ve eğer öyleyse, yürütülebilir bir dosyayı başlatır (“s.exe“), bu da Lumma Stealer da dahil olmak üzere ek yükler getirmek için tasarlandı.
Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında diğer suç aktörlerinin kullanımına sunulan bir bilgi hırsızı olan Lumma, truva atı haline getirilmiş yazılım, kötü amaçlı reklam ve hatta sahte tarayıcı güncellemeleri gibi çeşitli yöntemlerle dağıtılmaktadır.
Sharma, keşfin “tecrübeli tehdit aktörlerinin artık Python geliştiricilerini hedef aldığını ve güçlü veri hırsızlığı cephaneliği için bir dağıtım kanalı olarak PyPI gibi açık kaynak kayıtlarını kötüye kullandığını gösterdiğini” söyledi.
Sahte Tarayıcı Güncelleme Kampanyaları Yüzlerce WordPress Sitesini Hedefliyor
Gelişme, Sucuri’nin bunu açıklamasıyla birlikte geldi 300’den fazla WordPress sitesi site ziyaretçilerini sahte MSIX yükleyicilerine yönlendiren ve bilgi hırsızlarının ve uzaktan erişim truva atlarının yayılmasına yol açan kötü amaçlı Google Chrome güncelleme pop-up’larının güvenliği ihlal edildi.
Saldırı zincirleri, tehdit aktörlerinin WordPress yönetici arayüzüne yetkisiz erişim elde etmesini ve adı verilen meşru bir WordPress eklentisini yüklemesini içerir. Hustle – E-posta Pazarlama, Potansiyel Müşteri Yaratma, Optins, Açılır Pencereler sahte tarayıcı güncelleme açılır pencerelerinin görüntülenmesinden sorumlu kodu yüklemek için.
Güvenlik araştırmacısı Puja Srivastava, “Bu kampanya, bilgisayar korsanları arasında kötü amaçlı amaçlar için meşru eklentilerden yararlanma yönünde giderek artan bir eğilimin altını çiziyor” dedi söz konusu. “Bunu yaparak, çoğu eklenti verilerini WordPress veritabanında sakladığından dosya tarayıcılarının tespitinden kurtulabilirler.”