Python Paket Dizini (PyPI) deposunu hedefleyen başka bir kampanyada, geliştirici sistemlerine bilgi hırsızları yerleştiren altı kötü amaçlı paket bulundu.
Şimdi kaldırılan paketler, keşfetti 22 Aralık – 31 Aralık 2022 tarihleri arasında Phylum tarafından hazırlanan Pyrologin, easytimestamp, discorder, discord-dev, style.py ve pythonstyles içerir.
Kötü amaçlı kod, giderek artan bir şekilde, bu kitaplıkların kurulum komut dosyasında (setup.py) gizlenmiştir, yani bir “pip install” komutunu çalıştırmak, kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için yeterlidir.
Kötü amaçlı yazılım, bir ZIP arşiv dosyasını alan bir PowerShell komut dosyası başlatmak, pynput, pydirectinput ve pyscreenshot gibi istilacı bağımlılıklar yüklemek ve daha fazla PowerShell kodu yürütmek için arşivden çıkarılan bir Visual Basic Komut Dosyası çalıştırmak üzere tasarlanmıştır.
Phylum, geçen hafta yayınlanan bir teknik raporda, “Bu kitaplıklar, fare ve klavye girişlerini kontrol edip izlemenize ve ekran içeriklerini yakalamanıza izin veriyor” dedi.
Hileli paketler ayrıca Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX ve Vivaldi tarayıcılarından çerezleri, kayıtlı şifreleri ve kripto para birimi cüzdan verilerini toplayabilir.
Ancak, tehdit aktörü tarafından benimsenen yeni bir teknikte, saldırı ayrıca indirme ve yükleme girişiminde bulunur. Bulutluiçin bir komut satırı aracı Cloudflare Tüneli“genel olarak yönlendirilebilir bir IP adresi olmadan kaynaklarınızı Cloudflare’a bağlamanın güvenli bir yolunu” sunar.
Özetle fikir, xrat (ancak Phylum tarafından kod adı powerRAT) olarak adlandırılan bir truva atı barındıran Flask tabanlı bir uygulama aracılığıyla güvenliği ihlal edilmiş makineye uzaktan erişmek için tünelden yararlanmaktır.
Kötü amaçlı yazılım, tehdit aktörünün kabuk komutları çalıştırmasına, uzak dosyaları indirip ana bilgisayarda yürütmesine, dosyalara ve tüm dizinlere sızmasına ve hatta rastgele python kodu çalıştırmasına olanak tanır.
Flask uygulaması ayrıca, kurbanın girdiği hassas bilgileri almak için fare ve klavye tıklama olaylarını dinlemek ve sistemin ekran görüntülerini yakalamak için JavaScript kullanan “canlı” bir özelliği de destekler.
Phylum, “Bu şey steroid kullanan bir RAT gibidir,” dedi. “İlkel bir uzak masaüstü yeteneği ve önyükleme için bir hırsız ile güzel bir web GUI’sinde yerleşik olarak tüm temel RAT özelliklerine sahiptir!”
Bulgular, saldırganların taktiklerini açık kaynak paket havuzlarını hedeflemek ve tedarik zinciri saldırılarını sahnelemek için sürekli olarak nasıl geliştirdiklerini gösteren bir başka pencere.
Geçen ayın sonlarında, Phylum da ifşa kurulu sistemlerden ortam değişkenlerini sızdırdığı tespit edilen bir dizi sahte npm modülü.