Araştırmacılar, Python kötü amaçlı yazılımı oluşturan tehdit aktörlerinin daha iyi hale geldiğini ve yüklerinin tespit edilmesinin zorlaştığını iddia etti.
Yakın zamanda tespit edilen kötü amaçlı bir yükü analiz eden JFrog, saldırganların araştırmacıların yükleri analiz etmesini ve kodun arkasındaki mantığı anlamasını zorlaştırmak için yeni bir teknik – hata ayıklama önleme kodu – kullandıklarını bildirdi.
“Normal” şaşırtma araçlarına ve tekniklerine ek olarak, “cookiezlog” paketinin arkasındaki bilgisayar korsanları, dinamik analiz araçlarını engellemenin bir yolu olarak hata ayıklama önleyici kod kullandılar.
İlk kez
JFrog’a göre, herhangi bir PyPI kötü amaçlı yazılımında ilk kez böyle bir yöntem tespit edildi.
Araştırmacılar, “Günümüzde çoğu PyPI kötü amaçlı yazılımı, çeşitli teknikler kullanarak statik tespitten kaçınmaya çalışıyor: ilkel değişken yönetmeden gelişmiş kod düzleştirme ve steganografi tekniklerine kadar,” diye açıklıyor araştırmacılar. Blog yazısı (yeni sekmede açılır).
“Bu tekniklerin kullanılması paketi son derece şüpheli hale getiriyor, ancak acemi araştırmacıların statik analiz araçlarını kullanarak kötü amaçlı yazılımın tam olarak nasıl çalıştığını anlamasını engelliyor. Ancak kötü amaçlı yazılım sanal alanı gibi herhangi bir dinamik analiz aracı, kötü amaçlı yazılımın statik koruma katmanlarını hızla kaldırır ve altında yatan mantığı ortaya çıkarır.”
JFrog’un araştırmacıları geçici çözümler üzerinde çalışmayı ve doğrudan yüke göz atmayı başardıklarından, bilgisayar korsanlarının çabaları beyhude görünüyor. Bir analizin ardından araştırmacılar, yükü gizli tutmak için gösterilen çabaya kıyasla “hayal kırıklığı yaratacak kadar basit” olarak nitelendirdiler. Cookiezlog, popüler tarayıcıların veri önbelleklerinde kayıtlı “otomatik tamamlama” parolalarını çalabilen bir parola yakalayıcı olduğu için yine de zararlıdır.
Toplanan istihbarat daha sonra bir komuta ve kontrol sunucusu görevi gören bir Discord kancası aracılığıyla saldırganlara gönderilir.
Ne yazık ki JFrog, kötü amaçlı yazılımın arkasındaki grubun adını veya şifre kapma aracını kurbanların uç noktalarına indirmek için kullanılan dağıtım tekniklerini açıklamadı. Ne olursa olsun, PyPI kötü amaçlı yazılım haberlerinin daha sık olması, Python geliştiricilerinin önemli bir hedef haline geldiğini gösteriyor.