Python Paket Dizini (PyPI) deposundaki kötü amaçlı bir Python paketinin, Unicode’u tespitten kaçmak ve bilgi çalan bir kötü amaçlı yazılım dağıtmak için bir hile olarak kullandığı bulundu.
Adı geçen söz konusu paket onyxproxy, 15 Mart 2023’te PyPI’ye yüklendi ve kimlik bilgilerini ve diğer değerli verileri toplama ve sızdırma yetenekleriyle birlikte geliyor. O zamandan beri kaldırıldı, ancak toplamını çekmeden önce değil 183 indirme.
Yazılım tedarik zinciri güvenlik firması Phylum’a göre paket, kötü niyetli davranışını, görünüşte meşru görünen binlerce kod dizisiyle dolu bir kurulum komut dosyasında birleştiriyor.
Bu dizeler, kalın ve italik yazı tiplerinin bir karışımını içerir ve yine de okunabilir ve Python yorumlayıcısı tarafından yalnızca paketin yüklenmesinin ardından hırsız kötü amaçlı yazılımın yürütülmesini etkinleştirmek için ayrıştırılabilir.
Şirket, “Bu garip planın bariz ve acil yararı okunabilirliktir” dedi. kayıt edilmiş. “Ayrıca, bu görünür farklılıklar kodun çalışmasını engellemiyor, ki öyle.”
Bu, aynı karakter gibi görünen Unicode varyantlarının kullanılması sayesinde mümkün olmuştur (aka homoglifler) zararsız görünen işlevler ve değişkenler arasında gerçek renklerini (örneğin, kendine karşı ????) kamufle etmek.
Kaynak koduna güvenlik açıkları eklemek için Unicode kullanımı daha önce Cambridge Üniversitesi araştırmacıları Nicholas Boucher ve Ross Anderson tarafından Trojan Source adlı bir saldırı tekniğinde ortaya çıkmıştı.
Yöntemin gelişmişlik açısından eksikliğini, diğer kaynaklardan kopyala-yapıştır çabalarının belirgin belirtilerini göstermesine rağmen, yeni bir karmaşık kod parçası oluşturarak telafi ediyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Geliştirme, “Python yorumlayıcısının kötü amaçlı yazılımlarını gizlemek için Unicode’u nasıl kullandığından” yararlanarak, dize eşleştirme tabanlı savunmaları aşmanın yeni yollarını bulmak için tehdit aktörlerinin devam eden girişimlerini vurguluyor.
İlgili bir notta, Kanadalı siber güvenlik şirketi PyUp detaylı kümülatif olarak 1.000’den fazla kez indirilen ve uzak bir sunucudan gizlenmiş kodu almak için tasarlanmış üç yeni sahte Python paketinin (aiotoolbox, asyncio-proxy ve pycolorz) keşfi.