Python Paket Dizininde dört farklı hileli paket (PyPI), kötü amaçlı yazılım bırakma, netstat yardımcı programını silme ve SSH yetkili_anahtarları dosyasını değiştirme dahil olmak üzere bir dizi kötü amaçlı eylem gerçekleştirdiği bulunmuştur.
Söz konusu paketler uygun, ürpertici2, üstlerVe tkint3rs, kaldırılmadan önce hepsi toplu olarak yaklaşık 450 kez indirildi. Aptx, Qualcomm’un kimliğine bürünme girişimidir. son derece popüler ses codec’i aynı adlı httops ve tkint3rs, sırasıyla https ve tkinter’ın yazım hatalarıdır.
Güvenlik araştırmacısı ve gazeteci Axe Sharma, “Bu paketlerin çoğu, kasıtlı olarak insanların kafasını karıştırmak için iyi düşünülmüş isimler içeriyordu.” söz konusu.
Kurulum komut dosyasına enjekte edilen kötü amaçlı kodun analizi, gizlenmiş bir kodun varlığını ortaya çıkarır. Meterpreter verisi bu “kılığına girmişbip“Python için yasal bir paket yükleyici” ve virüslü ana bilgisayara kabuk erişimi elde etmek için kullanılabilir.
kaldırmak için atılan adımlar da vardır. netstat ağ yapılandırmasını ve etkinliğini izlemenin yanı sıra .ssh/yetkili_keys dosyası uzaktan erişim için bir SSH arka kapısı kurmak.
Sharma, “Şimdi bu, açık kaynak ekosistemine başarılı bir şekilde giren zararlı kötü amaçlı yazılımların şık ama gerçek dünyadan bir örneği.” dedi.
Ancak Fortinet FortiGuard Labs, yazılım depolarına sızan kötü amaçlı yazılımın yinelenen bir tehdit olduğuna dair bir işaret olarak beş farklı paket ortaya çıkardı: web3-temel, 3m-promo-gen-api, ai-çözücü-gen, hypixel-madeni paralar, httpxrequesterv2Ve httpxistek sahibi – bunlar tasarlanmış ile hasat et ve dışarı sızdır hassas bilgi.
Açıklamalar, ReversingLabs’in, geliştiricileri indirmeleri için kandırmak üzere yasal abquery paketi kılığına girmek üzere tasarlanmış aabquerys adlı kötü niyetli bir npm modülüne ışık tutmasıyla geldi.
Gizlenmiş JavaScript kodu, kendi adına, bir Avast proxy ikili dosyası (wsc_proxy.exe) savunmasız olduğu bilinen DLL yandan yükleme saldırılar.
Bu, tehdit aktörünün bir komut ve kontrol (C2) sunucusundan üçüncü aşama bir bileşen olan Demon.bin’i getirmek üzere tasarlanmış kötü amaçlı bir kitaplığı çalıştırmasını sağlar.
“Demon.bin, adlı bir açık kaynak, kullanım sonrası, komut ve kontrol çerçevesi kullanılarak oluşturulan tipik RAT (uzaktan erişim truva atı) işlevlerine sahip kötü niyetli bir aracıdır. Tahribat,” ReversingLabs araştırmacısı Lucija Valentić söz konusu.
Ayrıca, aabquerys’in yazarının, aabquerys’in erken yinelemeleri olduğundan şüphelenilen aabquery ve nvm_jquery adlı diğer iki paketin birden çok sürümünü yayınladığı söyleniyor.
Havoc, kötü amaçlı yazılım kampanyalarında Manjusaka, Covenant, Merlin ve Empire gibi özel paketlerden yararlanan suçlu aktörlerle birlikte, vahşi ortamda tespit edilen tek C2 istismar çerçevesi değildir.
Bulgular ayrıca büyümenin altını çiziyor risk ile ilgili hain paketler yazılım tedarik zinciri üzerinde ciddi bir etkisi olabilecek npm ve PyPi gibi açık kaynak havuzlarında gizleniyor.
