VMware vSphere konektör modülünü 'VConnector' taklit eden kötü niyetli bir paket, Python Paket Dizinine (PYPI) 'VMConnect' adı altında, BT profesyonellerini hedefleyen yüklendi.
VMware vSphere bir sanallaştırma araçları paketidir ve VConnector, PYPI aracılığıyla ayda yaklaşık 40.000 indirilen geliştiriciler ve sistem yöneticileri tarafından kullanılan bir arayüz python modülüdür.
Sonatype’in araştırmacısı ve BleepingComputer’ın muhabiri Ax Sharma, 28 Temmuz 2023'te Pypi'ye yüklenen kötü amaçlı paket Ax Sharma, 1 Ağustos 2023’te kaldırılana kadar 237 indirme topladı.
Sonatype’in araştırması, ‘VMConnect’, yani ‘Ethter’ ve ‘Quantiumbase’ gibi aynı kodla iki paket daha ortaya koydu.
"Ethter" paketi, aylık 70.000'den fazla indirme olan meşru "Eth-Tester" paketini taklit ederken, "QuantiumBase", "veritabanları" paketinin bir klonudur.
Her üç kötü amaçlı paketin hepsi, taklit ettikleri projelerin işlevselliğini içeriyordu, bu da kurbanları meşru araçlar yürüttüklerine ve bir enfeksiyon süresini uzattıklarına inanmaya itebilir.
Paketin kodundaki kötü niyetli niyet belirtileri, 'init.py' dosyasında, ayrı bir işlemde kod çözülen ve yürütülen baz 64 kodlu bir dize içeren, saldırgan kontrollü bir URL'den veri almak için her dakika çalıştıran ve Geri ihlal edilen makinede yürüt.
URL Bu paketler ping hxxp: //45.61.139 [.] 219/Paperpin3902.jpg (bazı sürümlerde varyasyon: hxxps: // etertestnet [.] Pro/paperpin3902.jpg). Bir görüntü dosyası gibi görünen bağlantıya rağmen, Seri Ves düz metin kodu.
Paket analizine liderlik eden Sonatype’in Ankita Lamba, soruşturma sırasında dış kaynaktan çıkarıldığı için ikinci aşama yükü alamadı.
Bununla birlikte, ana bilgisayarda bir yükü almak ve yürütmek için harici, belirsiz bir URL ile gizlice temas eden bir paket, ayrıntılar bilinmemekle bile, yüksek riskli bir operasyon olduğunu belirlemek için genellikle yeterlidir.
Saldırganların yalnızca yüksek ilgi alanları gibi görünen enfekte olan ana bilgisayarlarda komutlara hizmet etmeleri veya analistleri dışlamak için bir IP filtreleme mekanizması kullanmaları olası değildir.
Pypi ve GitHub'da “Hushki502” olarak kaydedilen paketlerin yazarına şüphe yararı vermek için Sonatype geliştiriciyle temasa geçti, ancak yanıt alınmadı.
ReversingLabs aynı kampanyayı tespit etti ve ayrıca tehdit oyuncusu, ikinci aşama yükü ve saldırganların nihai hedefi hakkındaki soruşturması benzer şekilde sonuçsuz kaldı.
Dikkatin son bir notu olarak, PYPI'da kullanılan sahte paketlerin yazarının doğru olduğunu ve gerçekçi göründüğünü ve hatta Github depolarını eşleşen isimlerle oluşturduğunu vurgulamak önemlidir.
Bununla birlikte, geliştiriciler yasadışı etkinliği yalnızca projelerin kısa geçmişini, düşük indirme sayımlarını, bazı dosyalardaki gizli kodları ve paket adlarını benzeyen, ancak meşru projelerinkiyle tam olarak eşleştirmediklerini fark etmişlerse keşfedebilirlerdi.
Yeni Python Aracı, Manifest Karışıklık Sorunları için NPM paketlerini kontrol ediyor
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
VMware, denetim günlüklerinde CF API admin bilgilerini ortaya çıkaran hatayı düzeltiyor
Fin8, Sardonic kötü amaçlı yazılım varyantını kullanarak Alphv Fidye Yazılımını Dağıtır
Fin8 siber suçlu çetesi backround, yeni Sardonik kötü amaçlı yazılımlarla orgs orgs
Kaynak: Bleeping Computer