Python Paket Endeksinde Bulunan Yeni Kötü Amaçlı Yazılımlar
Son dönemde siber güvenlik araştırmacıları, Python Paket Endeksi (PyPI) içerisinde bulunan iki yeni kötü amaçlı paketin, Windows sistemlerde uzaktan erişim trojanı olan SilentSync‘i dağıtmak için tasarlandığını tespit ettiler. Bu yazılımlar, kullanıcıların bilgisayarlarına sızarak kişisel verilere ulaşmayı amaçlıyor.
SilentSync Nedir?
SilentSync, uzaktan komut yürütme, dosya sızıntısı ve ekran görüntüsü alma yeteneklerine sahip bir trojan olarak dikkat çekiyor. Zscaler ThreatLabz’dan Manisha Ramcharan Prajapati ve Satyam Singh, bu yazılımın Chrome, Brave, Edge ve Firefox gibi popüler web tarayıcılarından kimlik bilgileri, tarayıcı geçmişi, otomatik doldurma verileri ve çerezler gibi verileri çıkarabildiğini belirtiyor. Bu kötü amaçlı yazılım, siber saldırganların hedeflerine ulaşması için etkili bir şekilde tasarlanmış.
Paketlerin Özellikleri
Tespit edilen kötü amaçlı paketler, aşağıda listelenmiştir:
- sisaws (201 İndirme)
- secmeasure (627 İndirme)
Bu paketler artık PyPI üzerinden indirilememektedir ve her ikisi de “CondeTGAPIS” isimli bir kullanıcı tarafından yüklenmiştir.
Sisaws paketi, Arjantin’in ulusal sağlık bilgi sistemi olan Sistema Integrado de Información Sanitaria Argentino (SISA) ile ilişkilendirilen meşru bir Python paketinin davranışını taklit eder. Ancak, bu paketin içindeki __init__.py dosyasında bulunan gen_token() fonksiyonu, bir sonraki aşama kötü amaçlı yazılımın indiricisi olarak işlev görmektedir. Bu fonksiyon, kod yoluyla bir token gönderir ve cevap olarak bir başka token alır; bu işlem, meşru SISA API’sine benzer bir şekilde gerçekleştirilir.
Zscaler’ın açıklamasına göre, eğer bir geliştirici sisaws paketini içe aktarıp gen_token fonksiyonunu çağırırsa, kod bir hexadecimal string’i çözerek bir curl komutunu ortaya çıkarır. Bu komut, ek bir Python scriptini almak için kullanılır ve söz konusu script, geçici bir dizine helper.py olarak yazılır ve yürütülür.
Secmeasure ise, “dize temizleme ve güvenlik önlemleri uygulama kütüphanesi” olarak kendini tanıtır, fakat SilentSync RAT‘yi yüklemek için gömülü bir işlevsellik taşır.
Kötü Amaçlı Yazılımın Özellikleri
SilentSync şimdilik esas olarak Windows sistemlerini hedef alıyor, ancak aynı zamanda Linux ve macOS için de gömülü özelliklere sahip. Bu, Windows’ta Kayıt defteri değişiklikleri yapabilmeyi, Linux’ta crontab dosyasını değiştirerek yüklemenin sistem başlangıcında çalıştırılmasını sağlıyor ve macOS üzerinde LaunchAgent kaydı yapabilme yeteneğini içeriyor.
Kötü amaçlı yazılım, bir HTTP GET isteği göndererek sabit bir noktadan Python kodunu almak için ikinci token’ın varlığına dayanıyor. Bu işlem için kullanılan sunucu, dört farklı son noktayı destekliyor:
- /checkin: Bağlantıyı doğrulama
- /comando: Yürütülecek komutları talep etme
- /respuesta: Durum mesajı gönderme
- /archivo: Komut çıktısı veya çalınan veriyi gönderme
SilentSync, tarayıcı verilerini toplama, kabuk komutlarını yürütme, ekran görüntülerini yakalama ve dosyaları çalma yeteneğine sahiptir. Aynı zamanda dosyaları ve tam dizinleri ZIP arşivleri olarak dışarı aktarabilir. Veriler gönderildikten sonra, tüm izler silinerek tespit edilme çabalarının önüne geçilir.
Tedarik Zinciri Saldırıları ve Güvenlik Önlemleri
Zscaler, sisaws ve secmeasure paketlerinin keşfinin, kamu yazılım depolarında tedarik zinciri saldırılarının artan riskini vurguladığını belirtiyor. Typo-squatting ve meşru paketlerin taklit edilmesi yoluyla tehdit aktörleri, kişisel tanımlanabilir bilgilere (PII) ulaşma imkanı buluyor. Hackerların kolayca hedef alabileceği bu tür paketlerin varlığı, yazılım geliştirme sürecinde dikkat edilmesi gereken önemli bir noktadır.
Geliştiricilerin, indirdikleri ve kullandıkları kütüphaneleri dikkatli bir şekilde incelemeleri ve her zaman resmi kaynaklardan indirme yapmaları büyük önem taşır. Bu, sadece kendi sistemlerini değil, aynı zamanda daha geniş bir yazılım ekosistemini korumak için de gereklidir.
Siber güvenlik konularına karşı duyarlılığı artırmak ve bilinçlenmek, bu tür saldırılara karşı koymak adına kritik bir adımdır. Eğitim ve farkındalık, güvenli bir yazılım geliştirme süreci için gereksinim duyulan temel unsurlardır.
