Python Paket Endeksi (PYPI), kullanıcı kaydını geçici olarak askıya aldı ve devam eden bir kötü amaçlı yazılım kampanyasıyla başa çıkmak için yeni projelerin oluşturulması.
PYPI, geliştiricilerin Python paketlerini bulmasına ve yüklemelerine yardımcı olan Python projeleri için bir endeksdir.
Binlerce paket mevcut olduğunda, depo, yazılım geliştiricilerini ve potansiyel tedarik zinciri saldırılarını tehlikeye atmak için genellikle yazım hatası veya sahte paketler yükleyen tehdit aktörleri için çekici bir hedeftir.
Bu tür bir etkinlik, PYPI yöneticilerini bugün erken saatlerde, tüm yeni kullanıcı kayıtlarının kötü niyetli etkinliklerin azaltılmasına izin vermek için askıya alındığını duyurmaya zorladı.
CheckMarx'tan bir rapor, tehdit aktörlerinin dün meşru projeleri taklit eden isimlerle PYPI 365 paketlerine yüklemeye başladığını bildiriyor.
Paketler, kurulum üzerine yürütülen 'Setup.py' dosyasında kötü amaçlı kod içerir ve uzak bir sunucudan ek bir yük almaya çalışır.
Tespitten kaçınmak için, kötü amaçlı kod Fernet modülü kullanılarak şifrelenir ve uzak kaynağın URL'si gerektiğinde dinamik olarak oluşturulur.
Nihai yük, giriş şifreleri, çerezler ve kripto para uzantıları gibi web tarayıcılarında depolanan verileri hedefleyen kalıcılık özelliklerine sahip bir info-stealer'dır.
CheckMarx, raporunda, birçok meşru paket için çok sayıda yazım hatası varyant içeren buldukları kötü amaçlı girişlerin tam listesini sunar.
Check Point'ten gelen bir rapora göre, kötü amaçlı paketlerin listesi 500'ün üzerindedir ve iki aşamada konuşlandırılmıştır. Araştırmacılar, her paketin farklı isimler ve e -postalar içeren benzersiz bakım hesaplarından kaynaklandığını söylüyor.
Check Point, "Özellikle, her bir bakıcı hesabı, saldırının düzenlenmesinde otomasyonun kullanımını gösteren yalnızca bir paket yükledi."
Araştırmacılar, tüm girişlerin aynı sürüm numarasına sahip olduğunu, aynı kötü amaçlı kod içerdiğini ve adların bir randomizasyon işlemi ile oluşturulan göründüğünü söylüyor.
Bu olay, projelerinde kullandıkları bileşenlerin özgünlüğünü ve güvenliğini titizlikle doğrulamak için açık kaynaklı depolar kullanan yazılım geliştiricilerinin ve paket bakımcılarının öneminin altını çizmektedir.
Bu, Pypi'nin topluluğunu kötü amaçlı gönderimlerden korumak için ilk kez bu tür agresif adımlar atmadığı için değil. Depo bakıcıları geçen yıl 20 Mayıs'ta aynı eylemi gerçekleştirdiler.
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
100'den fazla ABD ve AB orgs Strelastealer kötü amaçlı yazılım saldırılarını hedef aldı
Activision: 2FA'nın yakın zamanda kötü amaçlı yazılımlarla çalınan hesapları güvence altına almasını sağlayın
Japonya, Kuzey Koreli hackerlar tarafından yaratılan kötü niyetli Pypi paketlerini uyarıyor
Facebook Reklamları Yeni OV3R_STEALER Şifre Çalma Kötü Yazılım
Kaynak: Bleeping Computer