Siber güvenlik araştırmacıları, daha geniş bir kampanyanın parçası olarak kripto para birimi hırsızlığını kolaylaştırmak için Python Paket Dizini (PyPI) deposunda keşfedilen yeni bir kötü amaçlı Python paketi konusunda uyardı.
Söz konusu paket pytoileurolan 316 kez indirildi yazarken. İlginç bir şekilde, PhilipsPY adını alan paket yazarı, 28 Mayıs 2024’te PyPI bakımcıları tarafından önceki bir sürümün (1.0.1) kaldırılmasının ardından paketin aynı işlevselliğe sahip yeni bir sürümünü (1.0.2) yükledi.
Sonatype tarafından yayınlanan bir analize göre, kötü amaçlı kod, paketin setup.py betiğine yerleştirilmiş ve harici bir sunucudan bir Windows ikili dosyasının alınmasından sorumlu olan Base64 kodlu bir yükün çalıştırılmasına olanak tanıyor.
Güvenlik araştırmacısı Ax Sharma, “Geri alınan ikili dosya ‘Runtime.exe’ daha sonra sistemdeki Windows PowerShell ve VBScript komutlarından yararlanılarak çalıştırılıyor.” söz konusu.
İkili program kurulduktan sonra kalıcılık sağlar ve web tarayıcılarından ve kripto para birimi hizmetlerinden veri toplayabilen casus yazılımlar ve hırsız kötü amaçlı yazılımlar da dahil olmak üzere ek yükleri bırakır.
Sonatype ayrıca “adlı yeni oluşturulmuş bir StackOverflow hesabını da tanımladığını söyledi”EstAYA G” Soru-cevap platformunda kullanıcıların sorularına yanıt vererek, onları sorunlarına sözde bir çözüm olarak haydut pytoileur paketini yüklemeye yönlendiriyorum.
“Günlüklere erişimi olmayan internet platformlarındaki takma adlı kullanıcı hesaplarını değerlendirirken kesin atıf yapmak zor olsa da, bu kullanıcı hesaplarının her ikisinin de yakın zamandaki yaşı ve tek amaçlarının kötü amaçlı Python paketini yayınlamak ve tanıtmak olması bize bunların birbiriyle bağlantılı olduğuna dair iyi bir gösterge veriyor.” Bu kampanyanın arkasında aynı tehdit aktörleri var” dedi Sharma, The Hacker News’e.
Bu gelişme, güvenilir bir platformun kötü amaçlı yazılımların yayılma vektörü olarak kötüye kullanılması nedeniyle yeni bir artışa işaret ediyor.
Sonatype, The Hacker News ile paylaştığı bir açıklamada ayrıca, “Böylesine güvenilir bir platformun kötü niyetli kampanyalar için bir üreme alanı olarak kullanılarak benzeri görülmemiş bir şekilde açık bir şekilde kötüye kullanılması, küresel çaptaki geliştiriciler için büyük bir uyarı işaretidir.” dedi.
“StackOverflow’un uzlaşması özellikle endişe verici, hâlâ öğrenen, sorular soran ve kötü niyetli tavsiyelere kanabilecek çok sayıda acemi geliştiriciye sahip.”
Paket meta verilerinin ve yazarlık geçmişinin daha yakından incelenmesi, Kasım 2023’te Checkmarx tarafından açıklanan, Pystob ve Pywool gibi sahte Python paketlerini içeren önceki bir kampanyayla çakışmaları ortaya çıkardı.
Bulgular, açık kaynaklı ekosistemlerin neden hala bir sorun olmaya devam ettiğinin bir başka örneğidir. Tehdit aktörleri için mıknatıs gibi bilgi hırsızları ile birden fazla hedefi aynı anda tehlikeye atmak istiyor Bladeroid ve diğer kötü amaçlı yazılımları tedarik zinciri saldırısı olarak adlandırılan yöntemle
