PYPI Python Paket Deposu, yazılım geliştiricilerinin verilerini çalmak için platforma yüklenen kötü amaçlı paketlerin içinde saklanan bir bilgi çalan kötü amaçlı yazılım dalgası tarafından bombalanıyor.
Bu kampanyada düşen kötü amaçlı yazılımlar, Kasım 2022'de PYPI'da önceki yaygın kötü amaçlı yazılım enfeksiyonundan sorumlu açık kaynaklı W4SP stealer'ın bir klonudur.
O zamandan beri, PYPI deposundan 'W4SP' düşüren ek 31 paket kaldırıldı ve kötü amaçlı operatörler, kötü amaçlı yazılımlarını platformda yeniden tanıtmak için yeni yollar aramaya devam ediyor.
Geçen hafta, Phylum araştırma ekibi, PYPI'ya W4SP dağıtan 47 paket daha bulduğunu bildirdi. Ancak GitHub, tehdit oyuncusu tarafından birincil yükü almak için kullanılan depoyu sonlandırdıktan sonra bu işlem bozuldu.
Siber güvenlik firması dün PYPI üzerindeki en az 16 paketin W4SP Stealer'a dayalı on farklı bilgi çalma kötü amaçlı yazılım varyantını yaydığını bildirdi.
Bu bilgi çalıcıları içeren kötü amaçlı paketler şunlardır:
Bu paketler Celestial Stealer, Angel Stealer, Şeytan Stealer, @Skid Stealer ve Leaf $ tealer gibi farklı adlar kullanan çalkalar bırakırken, Phylum hepsinin W4SP koduna dayandığını buldu.
Bir istisna dışında, "Chazz", yeni çalanlar W4SP'nin birden fazla aşama ve kod gizlemesine sahip karmaşık saldırı zincirini takip etmiyor.
Bunun yerine, stealer kodunu doğrudan "Main.py" veya "_init_.py" dosyalarına kodlama olmadan bırakırlar, böylece temel bir kod incelemesi hemen doğalarını ortaya çıkarır.
"Leaf $ tealer" ın bir kopyasını düşüren "Chazz" paketi, Blankobf aracından biraz şaşkınlık içeren yeni partiden sadece biridir, ancak deobfuscat yapmak hala oldukça kolaydır.
W4SP işlemiyle aynı taktikleri takip ederek, yeni stealers, GitHub depolarını kötü amaçlı yazılım yükünü indirmek için uzak bir kaynak olarak kullanır.
Bu kötü amaçlı yazılım “klonları” nın W4SP'nin veya taklitçilerinin arkasındaki aynı tehdit aktörleri tarafından işletilip işletilmediği belirsizdir, ancak Phylum, önceki kampanyaları taklit etmeye çalışan farklı gruplardan olduğunu varsayar.
Bu raporda sunulan tüm paketler PYPI deposundan kaldırılmıştır, ancak 2.500'den fazla indirilmeden önce değil.
Bilgisayar korsanları, geliştiricinin sistemlerinden ödün vermek daha büyük saldırılar için bir fırsat sunduğundan, açık kaynaklı paket depolarını giderek daha fazla hedefliyor.
Geliştiriciler, uygulamalarında yaygın olarak yetkilendirme jetonları ve API anahtarları depolarken, bu sırları çalmak, tehdit aktörlerinin daha yaygın tedarik zinciri saldırıları yapmasına veya gasp taleplerinde kullanım için veri çalmasına izin verebilir.
Enfeksiyon numaraları çaba sarf ettiği sürece, tehdit aktörlerinin farklı isimler ve hesaplar altında açık kaynaklı depolara kötü amaçlı paketler yüklediklerini görmeye devam edeceğiz.
Kötü niyetli 'Sentinelone' Pypi paketi geliştiricilerden verileri çalıyor
Binlerce 'müşteriye' sahip yeni Ducklogs Kötü Yazılım Hizmeti Talepleri
Rus Cybergangs bu yıl 50 milyondan fazla şifre çaldı
Aurora Infostealer kötü amaçlı yazılım, siberganglar tarafından giderek daha fazla benimsenmiştir
Ukrayna'nın Delta Askeri Sistemi Kullanıcıları INFO-Yönetici Kötü Yazılımlar tarafından Hedeflenen Kullanıcılar
Kaynak: Bleeping Computer