Python Paketlerinde Tehlike: Kötü Amaçlı Yazılımlar
Son zamanlarda, siber güvenlik araştırmacıları, Python Paket Endeksi (PyPI) deposuna yüklenen kötü amaçlı yazılımları tespit etti. Bu paketler, çalınmış e-posta adreslerini TikTok ve Instagram API’leriyle doğrulamak için kullanılan araçlar olarak tasarlandılar. Bu zararlı paketler checker-SaGaF, steinlurks ve sinnercore olarak adlandırılmakta ve artık PyPI üzerinde mevcut değiller.
Kötü Amaçlı Paketlerin Özellikleri
Checker-SaGaF, ismi gibi çalışarak, bir e-posta adresinin hem TikTok hem de Instagram hesaplarıyla ilişkili olup olmadığını kontrol etmektedir. Socket araştırmacısı Olivia Brown, bu paketin, verilen bir e-posta adresinin geçerli olup olmadığını belirlemek üzere TikTok’un şifre kurtarma API’sine ve Instagram’ın hesap giriş noktalarına HTTP POST talepleri gönderdiğini belirtti. Bu süreç, e-posta adresinin altında yatan hesap sahibinin varlığını ortaya çıkarıyor.
Brown, "Bu bilgileri elde eden tehdit aktörleri, yalnızca bir e-posta adresi üzerinden hedeflerini tehdit edebilir, spam yapabilir, sahte rapor saldırıları düzenleyerek hesapların askıya alınmasını sağlayabilir veya hedef hesapları doğrulayabilirler," dedi. "Elde edilen doğrulanmış kullanıcı listeleri ise karanlık ağda satılmakta ve bu durum, saldırı zincirlerinin hızlanmasına yol açmaktadır."
Steinlurks: Instagram Hesaplarına Yönelik Saldırı
İkinci paket olan steinlurks, Instagram hesaplarını hedef alarak farklı API noktalarına sahte HTTP POST talepleri göndermektedir. Bu, devletten kaçmak için Instagram Android uygulamasını taklit etmektedir. Bu paket, şu API noktalarına yönelmektedir:
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
Bu durum, kullanıcı bilgilerini toplamak ve dolayısıyla kullanıcıları hedef almak için büyük bir risk taşımaktadır. Tehdit aktörleri, tıpkı checker-SaGaF’da olduğu gibi, e-posta adreslerini doğrulamakta ve bu bilgileri kötü amaçlı işlemler için kullanmaktadır.
Sinnercore: Çok Yönlü Bir Araç
Sinnercore ise, verilen bir kullanıcı adı için şifre sıfırlama akışını başlatmayı hedeflemektedir. Bu paket, sahte HTTP talepleri göndererek hedeflenen kullanıcının kullanıcı adını içermektedir. Ayrıca, Telegram üzerinde isim, kullanıcı kimliği, biyografi ve premium durum gibi bilgileri de çıkarma işlevine sahiptir.
Brown, "Sinnercore’un bazı bölümleri, gerçek zamanlı Binance fiyatları veya döviz dönüşümleri gibi kripto para birimi hizmetlerine odaklanmıştır," diyerek ekledi. "Bu paket, ayrıca PyPI programcılarını hedef alarak herhangi bir PyPI paketinin detaylı bilgilerini toplayarak sahte geliştirici profilleri oluşturma amacı gütmektedir."
Diğer Zararlı Paketler ve Analizler
Bu haberlerin ardından, ReversingLabs, başka bir kötü amaçlı paket olan dbgpkg’yi de ortaya çıkardı. Bu paket, bilgi toplamak amacıyla geliştiricinin sistemine bir arka kapı yerleştirmektedir ve bu, kod yürütme ve veri sızıntısı için kullanılmaktadır. Socket tarafından daha önce tespit edilen discordpydebug ile benzer bir yük taşıdığı belirlenmiştir. Ek olarak, requestsdev isimli üçüncü bir paketin de aynı kampanyanın bir parçası olduğu düşünülmektedir.
Bu yöntemler, GSocket kullanılarak arka kapı tekniklerinin kullanıldığını göstermektedir. Analizler, bu kötü amaçlı yazılımın Phoenix Hyena isimli hacktivist grubuna benzer özellikler taşıdığını ortaya koymaktadır. ReversingLabs, bu durumun, bir taklit kötü niyetli aktör tarafından gerçekleştirilebileceğini de belirtmektedir.
Kötü Amaçlı Yazılımların Ulaşımı ve Tehdit Algoritması
Günümüzde, kötü amaçlı yazılımlar çok çeşitli ve karmaşık hale gelmiştir. Geliştiricilerin ve kullanıcıların, bu tür yazılımlardan korunmak adına daha dikkatli olmaları gerektiği bir gerçektir. Kötü niyetli aktörlerin kullandığı teknikler, uzun vadeli sisteme yerleşimi de hedeflemekte ve gizlilik endişelerini artırmaktadır.
Özellikle, kullanıcıların kişisel verilerini korumak için daha güvenli ve güncel yazılımlar kullanmaları önemlidir. Yakın zamanda ortaya çıkan npm paketlerinden biri olan koishi‑plugin‑pinhaofa, chat botlarında veri sızıntısına yol açabileceği belirtilmiş ve bu durum ayrıca dikkat çekicidir. Kullanıcıların herhangi bir veri kaybına uğramadan daha güvenli bir dijital ortamda bulunmalarını sağlamak için, her zaman güncel ve güvenilir kaynaklardan yazılım kullanmaları önerilmektedir.
