Araştırmacıların son yarım yıl içinde daha karmaşık büyüdüğünü gözlemledikleri kötü niyetli bir kampanya, açık kaynaklı platformlara yaklaşık 75.000 indirme sayılan yüzlerce bilgi tahsilat paketine dikiliyor.
Kampanya, Nisan ayının başından beri, hedeflenen sistemlerden hassas verileri çalmak için kod içeren 272 paket keşfeden CheckMarx'ın tedarik zinciri güvenlik ekibindeki analistler tarafından izlendi.
Saldırı, ilk tanımlandığından beri önemli ölçüde gelişti, paket yazarları giderek daha sofistike gizleme katmanları ve algılama tekniklerini uyguluyorlar.
Araştırmacılar, "Python ekosisteminde Nisan 2023'ten itibaren başlayan bir model görmeye başladıklarını" söylüyorlar.
Sağlanan bir örnek, sanallaştırılmış bir ortamda değil, bir hedef sistemde çalıştığını kontrol ettikten sonra yüklenen “_init_py” dosyasıdır - tipik bir kötü amaçlı yazılım ana bilgisayarının işareti.
Başladıktan sonra, enfekte olmuş sistemler hakkında aşağıdaki bilgileri hedefler:
Ayrıca, kötü amaçlı yazılım ekran görüntüleri alabilir ve masaüstü, resimler, belgeler, müzik, video ve indirme dizinleri gibi tehlikeye atılan sistemden tek tek dosyaları çalabilir.
Kurbanın panosu da kripto para birimi adresleri için sürekli olarak izlenir ve kötü amaçlı yazılım, ödemeleri kontrolleri altındaki cüzdanlara yönlendirmek için saldırganın adresi ile değiştirir.
Analistler, kampanyanın doğrudan kripto para biriminde doğrudan 100.000 dolar çaldığını tahmin ediyor.
CheckMarx, bu kampanyada kullanılan kötü amaçlı yazılımların, daha belirleyici bir darbe yapmak için uygulama veri manipülasyonuna giren tipik bilgi işlemlerden bir adım daha ileri gittiğini bildirdi.
Örneğin, Çıkış Kripto para birimi cüzdan yönetimi uygulamasının elektron arşivi, çekirdek dosyaları değiştirmek için değiştirilir ve saldırganların içerik güvenliği politikasını atlamasını ve verileri pespiltrat yapmasını sağlar.
Uyuşmazlıkta, belirli ayarlar etkinleştirilirse, kötü amaçlı yazılım, istemci yeniden başladığında yürütülen JavaScript kodunu enjekte eder.
Kötü amaçlı yazılım ayrıca, Windows “ana bilgisayarları” manipüle etmek için yükseltilmiş bir terminalde bir PowerShell komut dosyası kullanır, böylece ihlal edilen cihazda çalışan güvenlik ürünleri sunucularıyla iletişim kuramaz.
Araştırmacılara göre, Nisan ayından itibaren paketlerdeki bu kampanyanın kötü niyetli kodu, düz bir metin olduğu için açıkça görülebilirdi.
Mayıs ayında, paketlerin yazarları analizi engellemek için şifreleme eklemeye başladı. Ağustos ayında araştırmacı, paketlere çok katmanlı gizlemenin eklendiğini fark etti.
CheckMarx’ın araştırmacısı Yahuda Gelb'in ayrı bir raporunda, en son paketlerden ikisinin 70 kattan fazla şaşkınlık kullanmadığı belirtildi.
Ayrıca Ağustos ayında, kötü amaçlı yazılım geliştiricileri, antivirüs ürünlerini kapatma, hedeflenen uygulamalar listesine telgraf ekleme yeteneğini de içeriyordu ve bir geri dönüş verisi exfiltrasyon sistemi getirdi.
Araştırmacılar, açık kaynaklı toplulukların ve geliştirici ekosistemlerinin tedarik zinciri saldırılarına duyarlı olmaya devam ettikleri ve tehdit aktörlerinin GitHub gibi yaygın olarak kullanılan depolara ve sürüm kontrol sistemlerine veya PYPI ve NPM gibi paket regitrürlerine kötü niyetli paketler yükledikleri konusunda uyarıyorlar.
Kullanıcıların güvendikleri projeleri ve paket yayıncılarını incelemeleri ve paket adları konusunda uyanık olmaları önerilir.
Bu kampanyada kullanılan kötü amaçlı paketlerin bir listesi burada mevcuttur.
Kötü niyetli PYPI ve NPM paketleri akışı ile çalınan SSH tuşları
Ücretsiz İndir Yöneticisi, Linux kötü amaçlı yazılımları kontrol etmek için komut dosyasını serbest bırakır
Yeni 'Metastealer' kötü amaçlı yazılım hedefleri Intel tabanlı MacOS Systems
Facebook Messenger Kimlik Avı Dalgası Haftada 100 bin İşletme Hesapları
Hacker, yüksek değerli hedefler bulmak için yeni 'ekran görüntüsü' kötü amaçlı yazılım geliştirir
Kaynak: Bleeping Computer