Siber güvenlik araştırmacıları, dar bir kurban havuzundan kullanıcıların Google Cloud kimlik bilgilerini çalmayı amaçlayan, Apple macOS sistemlerini hedef alan Python Paket Endeksi (PyPI) deposunda kötü amaçlı bir paket keşfettiler.
“lr-utils-lib” adlı paket toplamda 59 indirme kaldırılmadan önce. Haziran 2024’ün başlarında kayıt defterine yüklendi.
“Kötü amaçlı yazılım, belirli macOS makinelerini hedeflemek için önceden tanımlanmış karmaların bir listesini kullanıyor ve Google Cloud kimlik doğrulama verilerini toplamaya çalışıyor,” Checkmarx araştırmacısı Yehuda Gelb söz konusu Cuma günü yayınlanan bir raporda. “Toplanan kimlik bilgileri uzak bir sunucuya gönderilir.”
Paketin önemli bir yönü, öncelikle bir macOS sistemine kurulup kurulmadığını kontrol etmesi ve ancak bundan sonra sistemin Evrensel Benzersiz Tanımlayıcısını (UUID) sabit kodlanmış 64 karma değerden oluşan bir listeyle karşılaştırmasıdır.
Tehlikeye atılan makine önceden tanımlanmış kümede belirtilenlerden biriyse, ~/.config/gcloud dizininde bulunan ve Google Cloud kimlik doğrulama verilerini içeren application_default_credentials.json ve credentials.db adlı iki dosyaya erişmeye çalışır.
Yakalanan bilgiler daha sonra HTTP üzerinden uzak bir sunucuya iletilir “europe-west2-workload-422915[.]bulutfonksiyonları[.]açık.”
Checkmarx ayrıca LinkedIn’de “Lucid Zenith” isimli sahte bir profil bulduğunu, bu profilin paketin sahibiyle eşleştiğini ve kendisinin Apex Companies’in CEO’su olduğunu iddia ettiğini, bunun da saldırıda sosyal mühendislik unsuru olabileceğini gösterdiğini belirtti.
Kampanyanın arkasında tam olarak kimin olduğu şu anda bilinmiyor. Ancak, siber güvenlik firması Phylum’un macOS ana bilgisayarının UUID’sini kontrol ettikten sonra kötü amaçlı eylemlerini serbest bıraktığı bulunan “requests-darwin-lite” adlı bir Python paketini içeren başka bir tedarik zinciri saldırısının ayrıntılarını açıklamasından iki aydan fazla bir süre sonra geldi.
Bu kampanyalar, tehdit aktörlerinin sızmak istedikleri macOS sistemleri hakkında önceden bilgi sahibi olduklarının ve kötü amaçlı paketlerin yalnızca belirli makinelere dağıtılmasını sağlamak için büyük çaba sarf ettiklerinin bir işaretidir.
Ayrıca kötü niyetli kişilerin, geliştiricileri kandırarak uygulamalarına dahil etmelerini sağlamak amacıyla benzer paketleri dağıtmak için kullandıkları taktiklere de değiniyor.
“Bu saldırının bireyleri mi yoksa işletmeleri mi hedef aldığı net olmasa da, bu tür saldırılar işletmeleri önemli ölçüde etkileyebilir,” dedi Gelb. “İlk ihlal genellikle bireysel bir geliştiricinin makinesinde gerçekleşse de, işletmeler için etkileri önemli olabilir.”
