Siber güvenlik araştırmacıları, Python’un bir dalı olduğu iddia edilen kötü amaçlı bir Python paketi tespit etti. popüler istekler kütüphanesi ve Sliver komuta ve kontrol (C2) çerçevesinin Golang versiyonunu projenin logosunun PNG görüntüsünde gizlediği bulunmuştur.
Bu steganografik hileyi kullanan paket istekler-darwin-litePython Paket Dizini (PyPI) kayıt defterinden kaldırılmadan önce 417 kez indirildi.
requests-darwin-lite “birkaç önemli farkla birlikte, sürekli popüler olan istek paketinin bir çatalı gibi göründü; en önemlisi, gerçek istekler kenar çubuğu PNG logosunun büyük bir sürümüne paketlenmiş kötü amaçlı bir Go ikili dosyasının dahil edilmesi.” Tedarik zinciri güvenlik firması Phylum söz konusu.
Değişiklikler, sistemin Evrensel Benzersiz Tanımlayıcısını () toplamak için Base64 kodlu bir komutun kodunu çözmek ve yürütmek üzere yapılandırılmış olan paketin setup.py dosyasında uygulandı.UUID).
İlginç bir şekilde, enfeksiyon zinciri yalnızca tanımlayıcı belirli bir değerle eşleştiğinde ilerler; bu, paketin arkasındaki yazar(lar)ın, başka bir yöntemle elde edilen tanımlayıcıya zaten sahip oldukları belirli bir makineyi ihlal etmeye çalıştıklarını ima eder. araç.
Bu iki olasılığı gündeme getiriyor: Ya hedefi yüksek bir saldırı, ya da daha geniş bir kampanya öncesinde bir tür test süreci.
UUID’nin eşleşmesi durumunda, request-darwin-lite, “requests-sidebar-large.png” adlı ve “requests-sidebar.png” adlı benzer bir dosyayla birlikte gönderilen yasal istekler paketiyle benzerlikler taşıyan bir PNG dosyasından veri okumaya devam eder. png’dir.”
Burada farklı olan, request’lerin içine yerleştirilmiş gerçek logonun dosya boyutu 300 kB iken, request-darwin-lite’ın içindekinin ise 17 MB civarında olmasıdır.
Ikili veri PNG görüntüsünde, güvenlik profesyonellerinin kırmızı ekip operasyonlarında kullanılmak üzere tasarlanmış açık kaynaklı bir C2 çerçevesi olan Golang tabanlı Sliver gizlidir.
Paketin kesin nihai hedefi şu anda belirsiz ancak bu gelişme bir kez daha açık kaynaklı ekosistemlerin kötü amaçlı yazılım dağıtmak için çekici bir vektör olmaya devam ettiğinin bir işareti.
Kod tabanlarının büyük çoğunluğunun açık kaynak koduna dayanması nedeniyle, son XZ Utils olayının yanı sıra npm, PyPI ve diğer paket kayıtlarına sürekli olarak kötü amaçlı yazılım akışı, sorunları ele almak aksi takdirde “ağın geniş alanlarını raydan çıkarabilecek” sistematik bir şekilde.
