Discord istemcisini bir bilgi sızdırmazlık arka kapısı haline getirecek ve web tarayıcılarından ve Roblox'tan veri çalmaya yönlendiren kötü amaçlı yazılım yüklediği bir düzine kötü amaçlı PYPI paketi keşfedildi.
On iki paket, 1 Ağustos 2022'de Python Paket Dizinine (PYPI), “ScaryCoder” adlı bir kullanıcı tarafından yüklendi ve Snyk'teki araştırmacılar tarafından keşfedildi.
Ortak yazım hatası yaklaşımının aksine, bu paketler kendi isimlerini kullanır ve kendilerini ilgilendiren geliştiricilere tanıtmak için çeşitli özellikler vaat eder.
Ne yazık ki, bu kötü niyetli PYPI Python paketleri seti, bunu yazarken açık kaynak paket deposundan kaldırılmamıştır, bu nedenle yazılım geliştiricileri hala risk altındadır.
Snyk'in yeni bir raporunun bir parçası olarak, araştırmacılar “Cyphers” adlı bu kötü amaçlı python paketlerinden birini analiz eder ve “setup.py” dosyasında gizlenmiş kötü amaçlı kodun, bir Discord CDN sunucusundan iki kötü amaçlı yazılım yürütülebilir dosyaları yüklemek için nasıl kullanıldığını gösteren “ Zyxmn.exe ”ve“ zyrbx.exe. ”
“Main.exe” adlı tek bir kötü amaçlı yürütülebilir dosyayı kullanan “HackerFilelol” ve “HackerFileloll” hariç, setteki tüm paketler için davranış aynıdır.
İlk ikili Zyxmn.exe, depolanan şifreler, tarayıcı geçmişi, çerezler ve arama geçmişi dahil olmak üzere Google Chrome, Chromium, Microsoft Edge, Firefox ve Opera'dan bilgi çalmak için kullanılır.
Tarayıcılardan bilgi çalmak için, kötü amaçlı yazılım, kurbanın arama geçmişinin temiz metin verilerini almak için web tarayıcısının yerel veritabanı ana anahtarını, geçmişe göz atma geçmişi, çerezler, yer imleri, depolanmış şifreler ve depolanan kredi kartlarını çözecektir. Bu bilgiler daha sonra bir Discord Webhook aracılığıyla tehdit aktörlerine yüklenir.
Bununla birlikte, daha da ilginç olan, kötü amaçlı yazılım, Discord istemcisi tarafından kullanılan gerçek JavaScript dosyalarını doğrudan anlaşmazlık hesabınızdan çalabilen bir arka kapı enjekte etmek için değiştirecektir.
Discord'dan veri çalmak için kötü amaçlı yazılım, kötü niyetli uyumsuzluk enjeksiyon komut dosyasını eklemek için ‘Discord_Desktop_Core’ klasörü altındaki index.js dosyasını değiştirir. Bu enjeksiyon için hedeflenen müşteriler anlaşmazlık, anlaşmazlık gelişimi, Discord Canary ve Discord PTB'dir (Kamu Test Yapısı).
Komut dosyası enjekte edildiğinde, anlaşmazlık yeniden başlatıldığında, kimlik doğrulama jetonlarını, nitro durumu, faturalandırma bilgilerini ve kredi kartlarını çalmak gibi çeşitli olumsuz davranışlar gerçekleştirecektir.
İkinci kötü amaçlı yazılım olan Zyrbx.exe, çevrimiçi oyun platformunun hesap çerezini, kullanıcı kimliğini, Robux dengesini ve hesap premium durumunu çalmaya ve bir Discord Webhook'a ekspiltrat etmeye çalışarak yalnızca Roblox'a odaklanır.
Dün Kaspersky, Info-Renting kötü amaçlı yazılım içeren ve ayrıca Discord istemcisini de değiştiren iki PYPI paketi sunduğu bir rapor yayınladı.
Bu paketlerdeki stealers, kripto para birimi cüzdanları, buhar ve Minecraft'tan hesap kimlik bilgilerini toplamaya odaklanırken, enjekte edilmiş bir komut dosyası e -posta adresleri, şifreler ve faturalandırma bilgileri gibi girişler için monitörler.
Bu adımdan sonra, Stealer, 2FA kurtarma listeleri, şifre metin dosyaları, uyumsuzluk jetonları, PayPal hesap bilgileri ve daha fazlasını bulmak için ana bilgisayarın indirmelerini, belgelerini ve masaüstü klasörlerini tarar.
Kaspersky tarafından keşfedilen kötü niyetli ikili “Pyquest” ve “Ultrarequests”, milyonlarca indirme ile projeleri taklit ediyor ve hatta kodlarını klonlıyor.
Pypi’nin kötü amaçlı paket raporlarına verdiği yanıtı yavaş görünmektedir, kötü amaçlı paketler rapor edildikten sonra günlerce çevrimiçi kalır. Bu muhtemelen sınırlı bir bütçeye sahip küçük bir gönüllü ekibinin, sabit kötü amaçlı yazılım yüklemeleri tarafından boğulmasının sonucudur.
Ne yazık ki, bu kötü amaçlı paketlere daha fazla çalışma süresi sunar ve yazılım geliştiricilerinin bu kötü amaçlı yazılımın kurbanı olma şansını artırır.
10 kötü amaçlı PYPI paketleri geliştiricinin kimlik bilgilerini çaldı
Hacker forumlarında yayınlanan pas tabanlı info-stealer için kaynak kodu
Raccoon Stealer, şifrelerinizi çalmak için yeni bir sürümle geri döndü
Pypi Python paketleri, güvenli olmayan sitelere çalınan AWS anahtarları göndererek yakalandı
Amadey kötü amaçlı yazılım Smokeloader kampanyasında yazılım çatlakları yoluyla itildi
Kaynak: Bleeping Computer