Siber Suçlular Kötü Amaçlı Python Paketini Tanıtmak İçin StackOverflow’u Kötüye Kullanıyor

Siber güvenlik araştırmacıları, daha geniş bir kampanyanın parçası olarak kripto para hırsızlığını kolaylaştırmak amacıyla Python Package Index (PyPI) deposunda keşfedilen yeni bir kötü niyetli Python paketi konusunda uyardılar.

Söz konusu paket, şu ana kadar 316 kez indirilen “pytoileur” adlı pakettir. İlginç bir şekilde, PhilipsPY adını kullanan paket yazarı, PyPI yöneticileri tarafından 28 Mayıs 2024’te kaldırılan önceki sürümden (1.0.1) sonra, aynı işlevselliğe sahip yeni bir sürüm (1.0.2) yüklemiştir.

Sonatype tarafından yayınlanan bir analize göre, kötü niyetli kod, paketin setup.py scriptine gömülmüş olup, dış bir sunucudan bir Windows ikili dosyasını almakla sorumlu olan Base64 kodlu bir yükü çalıştırmasına olanak tanır.

Alınan ikili dosya, ‘Runtime.exe,’ Windows PowerShell ve VBScript komutları kullanılarak sistemde çalıştırılır.

Kurulum tamamlandıktan sonra, bu ikili dosya kalıcılık sağlar ve casus yazılım ile web tarayıcıları ve kripto para hizmetlerinden veri toplayabilen hırsızlık yazılımı dahil ek yükler indirir.

Sonatype, ayrıca “EstAYA G” adlı yeni oluşturulmuş bir StackOverflow hesabı tespit etti. Bu hesap, soru-cevap platformunda kullanıcılara yanıt vererek onları sorunlarına sözde çözüm olarak sahte pytoileur paketini yüklemeye yönlendiriyor.

İnternet platformlarındaki takma ad kullanıcılı hesapları değerlendirirken, günlük kayıtlara erişim olmadan kesin bir belirleme yapmak zor olsa da, bu kullanıcı hesaplarının yeni oluşu ve yalnızca kötü niyetli Python paketini yayımlama ve tanıtma amacı gütmeleri, bunların bu kampanyanın arkasındaki aynı tehdit aktörü(leri) ile bağlantılı olduğunu gösteriyor.

Bu gelişme, kötü amaçlı yazılım yaymak için güvenilir bir platformun kötüye kullanılmasını işaret ederek yeni bir tırmanışa neden oldu.

Sonatype, “Bu kadar güvenilir bir platformun eşi görülmemiş bir şekilde açıkça kötüye kullanılması ve kötü niyetli kampanyalar için bir üreme alanı olarak kullanılması, dünya genelindeki geliştiriciler için büyük bir uyarı işaretidir,” dedi.

StackOverflow’un kötüye kullanılması, özellikle hala öğrenme aşamasında olan, soru soran ve kötü niyetli tavsiyelere kolayca kanabilecek çok sayıda yeni geliştirici barındırdığı için endişe vericidir.

Paketin meta verileri ve yazarlık geçmişinin daha yakından incelenmesi, Checkmarx tarafından Kasım 2023’te ortaya çıkarılan sahte Python paketleri (Pystob ve Pywool gibi) içeren önceki bir kampanya ile örtüşmeler olduğunu ortaya koydu.

Bu bulgular, açık kaynak ekosistemlerinin neden Bladeroid gibi bilgi hırsızları ve tedarik zinciri saldırısı olarak adlandırılan yöntemle diğer kötü amaçlı yazılımlarla aynı anda birden fazla hedefi tehlikeye atmak isteyen tehdit aktörleri için bir mıknatıs olmaya devam ettiğinin bir başka örneğidir.

About The Author

Reply