Check Point Research’ten (CPR) siber güvenlik araştırmacıları, büyük ölçüde GitHub kullanarak bir Truva atı kötü amaçlı yazılımı sunmak için bir görüntü kullanan Python programlama dilinin kod deposu olan PyPI üzerinde yeni bir kötü amaçlı paket keşfetti.
Bu yeni kampanyanın arkasındaki tehdit aktörleri, web’de meşru projeler ararken Python geliştiricilerinin er ya da geç ‘apicolor’ ile karşılaşacağını umuyor.
PyPI’deki görünüşte iyi huylu geliştirme paketi, kurulduktan sonra, önce ek gereksinimleri manuel olarak yükler ve ardından web’den bir resim indirir. Ekstra gereksinimler resmi işler ve exec komutunu kullanarak oluşturulan işleme çıktısını tetikler.
Steganografi saldırısı
Bu iki gereksinimden biri de judyb kodudur, bu aslında bir steganografi modülüdür ve resimlerin içindeki gizli mesajları açığa çıkarma yeteneğine sahiptir. Bu, araştırmacıları, ortaya çıktığı gibi, web’den kurbanın uç noktasına kötü amaçlı paketler indiren resme geri götürdü. (yeni sekmede açılır).
Araştırmacılar, “Bu tür paketleri araştırmak için en yakın yer GitHub’dır” diye açıklıyor. “Araştırmacılar, bu paketleri kullanarak kod projeleri aradılar ve ekibin enfeksiyon tekniklerini daha iyi anlamasını sağladı (eğer biri yanlışlıkla yüklediyse ve kurduysa, nasıl oldu). Bu aramayı kullanarak, apicolor ve judib’in GitHub projelerinde düşük kullanımıyla oldukça niş olduğu ortaya çıktı.“
CPR, bulgularını PyPI’ye bildirir bildirmez, PyPI kötü niyetli paketi platformundan kaldırdı.
Araştırmacılar bu kampanyanın arkasındaki tehdit aktörünün kim olduğunu bulamazken, tüm çilenin “dikkatlice planlandığını ve düşünüldüğünü” söyledi ve ayrıca PyPI üzerindeki şaşırtma tekniklerinin geliştiğini belirtti.
“PyPI’yi sürekli olarak kötü amaçlı paketler için tarar ve sorumlu bir şekilde PyPI’ye bildiririz. Bu, daha önce karşılaştığımız neredeyse tüm kötü amaçlı paketlerden benzersiz ve farklı,” yorumunu yaptı Alıntı: Bir Check Point şirketi olan SpectralOps, Veri Bilimi Başkanı Ori Abramovsky.
“Bu paket, amacını kamufle etme ve PyPI kullanıcılarını GitHub’da kötü niyetli içe aktarmalarla etkilemeyi hedefleme biçimi bakımından farklılık gösteriyor. Bulgularımız, PyPI kötü amaçlı paketlerinin ve bunların şaşırtma tekniklerinin hızla geliştiğini gösteriyor. Burada paylaştığımız paket özenli ve titiz bir çalışmayı yansıtmaktadır. Yaygın olarak gördüğümüz normal kopya ve geçmiş değil, gerçek bir kampanya gibi görünen şeydir. GitHub projelerinin oluşturulması, ardından kodu akıllıca gizlemek ve paketleri PyPI’de önemsiz göstermek, karmaşık işlerdir.”