Siber suçlular, Windows bilgi çalma kötü amaçlı yazılımları yükleyen kötü niyetli bir PYPI paketi tanıtarak kötü amaçlı yazılımları yaymak için ilginç bir yaklaşımda yığın taşmasını kötüye kullanıyor.
Sonatype araştırmacısı Ax Sharma (ve BleepingComputer'daki bir yazar), bu yeni PYPI paketinin, paketin meta verilerindeki Windows kullanıcılarını geçen yıl hedefleyen bir dizeden sonra bilinen bir 'havalı paket' kampanyasının bir parçası olduğunu keşfetti.
Bu PYPI paketi 'Pytoileur' olarak adlandırılır ve tehdit aktörleri tarafından hafta sonu PYPI deposuna yüklendi ve bunun bir API yönetim aracı olduğunu iddia etti. Paketin özet meta veri alanında nasıl "havalı paket" dizesine sahip olduğuna dikkat edin, bu da devam eden kampanyanın bir parçası olduğunu gösterir.
Bunun gibi kötü amaçlı paketler genellikle yazım hatası adı verilen bir işlem olan diğer popüler paketlere benzer adlar kullanılarak tanıtılır.
Bununla birlikte, bu paketle, tehdit aktörleri Stack Taşması ile ilgili soruları cevaplayarak ve paketi bir çözüm olarak tanıtarak daha yeni bir yaklaşım benimsedi.
Stack Overflow, tüm beceri setlerinden geliştiricilerin soru sorması ve cevaplaması için yaygın olarak kullanılan bir platform olduğundan, programlama arayüzleri ve kütüphaneler olarak gizlenmiş kötü amaçlı yazılımları yaymak için mükemmel bir ortam sağlar.
"Ayrıca, yaklaşık 2 gün önce yaratılan bir StackOverflow hesabı" Estaya G "nin, bu kötü niyetli paketi sorunlarına" çözüm "olarak yüklemeye yönlendirerek platformun hata ayıklama yardımı [1, 2, 3] arayan topluluk üyelerini kullandığını fark ettik. "Çözüm" geliştiricilerin gönderdiği sorularla ilgisi olmasa da, "Sonatype raporunda Sharma.
Bu durumda, PyToileur paketi, IDE veya metin dosya düzenleyicinizde kelime sargısı etkinleştirmediğiniz sürece, Base64 kodlu bir komutu boşluklarla yürütmek için bir 'setup.py' dosyaları içerir.
Deobfuscated'de, bu komut uzak bir siteden 'runime.exe' [virustotal] adlı yürütülebilir bir şekilde indirilir ve yürütür.
Bu yürütülebilir ürün aslında çerezleri, şifreleri, tarayıcı geçmişini, kredi kartlarını ve web tarayıcılarından elde edilen diğer verileri hasat etmek için bilgi çalan bir kötü amaçlı yazılım görevi gören bir Python programıdır.
Ayrıca belirli ifadeler için belgelerde arama yapıyor ve bulunursa verileri de çalıyor gibi görünüyor.
Daha sonra tüm bu bilgiler, karanlık web pazarlarında satabilen veya kurbanın sahip olduğu diğer hesapları ihlal etmek için kullanabilen saldırgana geri gönderilir.
Kötü niyetli PYPI paketleri ve bilgi çalanlar yeni bir şey olmasa da, siber suçluların Stack Taşmasında yararlı katkıda bulunanlar olarak poz verme stratejisi, kodlama topluluğundaki sitenin güvenini ve otoritesini kullanmalarına izin verdiği için ilginç bir yaklaşımdır.
Bu yaklaşım, siber suçluların sürekli değişen taktiklerini hatırlatıyor ve maalesef neden birisinin çevrimiçi olarak paylaştıklarına neden körü körüne güvenemeyeceğinizi gösteriyor.
Bunun yerine, geliştiriciler projelerine ekledikleri tüm paketlerin kaynağını doğrulamalı ve güvenilir hissetse bile, yürütülecek olağandışı veya gizlenmiş komutlar için kodu (kelime sargısı etkinleştirilmiş) kontrol edin.
PYPI PAKET BACKDOORS MACS, Şerit Kalem Test Paketi Kullanarak Macs
Telegram Düzeltiyor Windows Uygulaması Sıfır Gün Python komut dosyalarını başlatmak için kullanılan
Babama, ECS Liva'dan 55 $ ile Palmiye Boyu Windows masaüstü verin
Microsoft: Windows 24H2 Cortana ve Wordpad uygulamalarını kaldıracak
Yeni Shrinkrlocker Ransomware, dosyalarınızı şifrelemek için BitLocker kullanıyor
Kaynak: Bleeping Computer