Bilgi hırsızları taşıyan üç kötü amaçlı paket yakın zamanda keşfedildi ve daha sonra PyPI deposundan kaldırıldı.
Fortinet araştırmacıları, “Lollip0p” adlı bir kullanıcı tarafından 7-12 Ocak tarihleri arasında yüklenen üç paket buldu. Bu üçü “colorslib”, “httpslib” ve “libhttps” olarak adlandırılır ve bunları daha önce kullandıysanız, hemen kaldırdığınızdan emin olun.
Genellikle, Python geliştirici uç noktalarını PyPI aracılığıyla tehlikeye atmak isteyen siber suçlular, kötü niyetli paketlerinin adlarını meşru projelere ait diğer adlarla neredeyse aynı vererek yazım hatası yapmayı dener. Bu şekilde, pervasız veya acelesi olan geliştiriciler bilmeden temiz olan yerine kötü niyetli olanı kullanabilir.
Tarayıcı verilerini çalmak
Ancak bu kampanya farklıdır, çünkü bu üçünün benzersiz adları vardır. Saldırgan, güven oluşturmak için paketler için eksiksiz açıklamalar hazırladı. Yayına göre, bu üçü için toplam indirme sayısı 500’ü pek geçmese de, daha büyük bir tedarik zincirinin parçasıysa yine de yıkıcı olabilir.
Her üç durumda da saldırganlar, bir PowerShell çalıştırdıktan sonra internetten “Oxyz.exe” yürütülebilir dosyasını indirmeye çalışan “setup.py” adlı bir dosya dağıtıyorlar. Araştırmacılar, bu yürütülebilir dosyanın kötü amaçlı olduğunu ve tarayıcı bilgilerini çaldığını söylüyor. Kötü amaçlı yazılımın tam olarak ne tür bilgiler içerdiğini bilmiyoruz. (yeni sekmede açılır) çalmak istiyor, ancak bilgi hırsızları genellikle kayıtlı şifreler, kredi kartı verileri, kripto para cüzdanları ve diğer değerli bilgileri arar.
Rapor ayrıca, bu yürütülebilir dosyaların tespit edilme oranının nispeten düşük olduğunu (%13,5’e kadar), yani saldırganların antivirüs çözümleriyle korunan uç noktalardan bile verileri başarıyla sızdırabildiğini ortaya koydu.
Kötü amaçlı paketler PyPI’den zaten kaldırılmış olsa da, saldırganların bunları farklı bir adla ve farklı bir hesaptan yüklemesini hiçbir şey engelleyemez. Bununla birlikte, bu tür tedarik zinciri saldırılarına karşı korunmanın en iyi yolu, havuzlardan kod yapı taşları indirirken özellikle dikkatli olmaktır.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
