Siber güvenlik araştırmacıları, Python Paket Endeksi (PYPI) deposunun kullanıcılarını “zaman” ile ilgili yardımcı programlar olarak maskelenen sahte kütüphanelerle hedefleyen kötü niyetli bir kampanya konusunda uyardı, ancak bulut erişim belirteçleri gibi hassas verileri çalmak için gizli işlevsellik barındırıyor.
Yazılım Tedarik Zinciri Güvenlik Firması ReversingLabs söz konusu Toplam 20 tanesi iki paket paket keşfetti. Paketler kümülatif olarak 14.100 kez indirildi –
- Snapshot-Photo (2.448 indirme)
- Time-Check-Server (316 indirme)
- Time-Check-Server-Get (178 indirme)
- Time-Server-Analizi (144 indirme)
- Time-Server-Analyzer (74 indirme)
- Time-Server testi (155 indirme)
- Time-Service-Checker (151 indirme)
- aclient-sdk (120 indirme)
- Acloud-Slient (5.496 indirme)
- Acloud Clients (198 İndirme)
- acloud-client-uses (294 indirme)
- Alicloud-Slient (622 indirme)
- Alicloud-Client-SDK (206 indirme)
- AmzClients-SDK (100 indirme)
- Awscloud-Clients-Core (206 indirme)
- Kimlik Bilgisi-Python-SDK (1.155 indirme)
- Enumer-Iam (1.254 indirme)
- Tclients-sdk (173 indirme)
- TCOUD-PYTHON-SDKS (98 indirme)
- Tcloud-Python-Test (793 indirme)
İlk set, tehdit oyuncunun altyapısına veri yüklemek için kullanılan paketlerle ilgili olsa da, ikinci küme Alibaba Cloud, Amazon Web Services ve Tencent Cloud gibi çeşitli hizmetler için bulut istemci işlevlerini uygulayan paketlerden oluşur.
Ancak bulut sırlarını yaymak için “Time” ile ilgili paketler de kullanıyorlar. Belirlenen tüm paketler yazılı olarak PYPI’dan zaten kaldırılmıştır.
Daha ileri analizler, paketlerin üçünü ortaya çıkardı, akloud– numaralandırıcıVe Tcloud-Python testinispeten popüler bir GitHub projesinin bağımlılıkları olarak listelenmiştir. AccessKey_tools Bu 42 kez çatallandı ve 519 kez oynadı.
8 Kasım 2023’te TCLOUD-PYTHON-TEST’e atıfta bulunan bir kaynak kodu taahhüdü, paketin o zamandan beri PYPI’da indirilebileceğini gösteren bir kaynak kodu yapıldı. Paket, Pepy.tech’in istatistiklerine göre 793 kez indirildi.
Açıklama, Fortinet Fordiguard Labs’ın PYPI ve NPM’de binlerce paket keşfettiğini söylediği gibi geliyor, bazıları kurulum sırasında kötü amaçlı kod dağıtmak veya harici sunucularla iletişim kurmak için tasarlanmış şüpheli kurulum komut dosyalarını gömdü.
“Şüpheli URL’ler, genellikle ek yükler indirmek veya komut ve kontrol (C&C) sunucularıyla iletişim kurmak, saldırganlara enfekte sistemler üzerinde kontrol sağlayan” potansiyel olarak kötü niyetli paketlerin temel bir göstergesidir, “Jenna Wang söz konusu.
“974 pakette, bu tür URL’ler veri açığa çıkma, daha fazla kötü amaçlı yazılım indirme ve diğer kötü amaçlı işlem riski ile bağlantılıdır. Sömürü önlemek için paket bağımlılıklarındaki harici URL’leri incelemek ve izlemek çok önemlidir.”
