Checkmarx’tan siber güvenlik araştırmacıları, Python geliştiricileri için popüler bir havuz olan PyPI’de iki düzineden fazla kötü amaçlı paket keşfettiler ve bulgularını yeni bir sürümde yayınladılar. bildiri (yeni sekmede açılır).
Yasal olanlarla neredeyse aynı görünecek şekilde tasarlanan bu kötü amaçlı paketler, pervasız geliştiricileri yanlış olanı indirip yüklemeleri için kandırmaya çalışır ve böylece kötü amaçlı yazılım dağıtır.
Uygulama, yazım hatası olarak bilinir ve yazılım geliştiricilere saldıran siber suçlular arasında oldukça popülerdir.
bilgi hırsızlığı
Kötü amaçlı yazılımı gizlemek için saldırganlar iki benzersiz yaklaşım kullanıyor: steganografi ve polimorfizm.
Steganografi, tehdit aktörlerinin görünüşte masum .JPG’ler ve .PNG’ler aracılığıyla kötü amaçlı kod dağıtmasına olanak tanıyan bir görüntünün içine kod gizleme uygulamasıdır.
Öte yandan polimorfik kötü amaçlı yazılım, yükü her yüklemede değiştirerek virüsten koruma programlarından ve diğer siber güvenlik çözümlerinden başarıyla kaçınır.
Saldırganlar bu teknikleri, insanların Discord hesaplarını, şifrelerini, kripto para cüzdan bilgilerini, kredi kartı verilerini ve kurbanın uç noktasındaki ilginç bulduğu diğer bilgileri ele geçirebilen bir bilgi hırsızı olan WASP’ı teslim etmek için kullandı.
Tanımlandıktan sonra veriler, sabit kodlanmış bir Discord webhook adresi aracılığıyla saldırganlara geri gönderilir.
Görünüşe göre araştırmacılar, aracın karanlık ağda 20 $ ‘a reklamını yapan ve tespit edilemez olduğunu iddia eden tehdit aktörlerini fark ettiğinden, kampanya bir pazarlama hilesi gibi görünüyor.
Dahası, araştırmacılar bunun, araştırmacılar tarafından ilk olarak bu ayın başlarında bildirilen benzer bir saldırının arkasındaki aynı grup olduğuna inanıyor. filum (yeni sekmede açılır) ve Kontrol Noktası (yeni sekmede açılır). O zamanlar, Worok adlı bir grubun, en az Eylül 2022’den beri Dropbox dosya barındırmayı iletişim ve veri hırsızlığı için kötüye kullanan özel bir .NET C# bilgi hırsızı olan DropBoxControl’ü dağıttığı söylendi.
Araştırmacılar, araçları göz önüne alındığında, Worok’un sessizce çalışan, hedef ağlar arasında yanal olarak hareket etmeyi ve hassas verileri çalmayı seven bir siber casusluk grubunun işi olduğuna inanıyor. Araştırmacılar bunların başka kimse tarafından kullanıldığını gözlemlemediğinden, kendi özel araçlarını da kullanıyor gibi görünüyor.
Aracılığıyla: Kayıt (yeni sekmede açılır)
