Bir tehdit aktörü, yazılım tedarik zincirini yüzlerce tehditle donatmak için Nisan başından bu yana “amansız bir kampanya” yürütüyor. kötü amaçlı Python paketleri Windows sistemlerinden hassas verileri ve kripto para birimini çalmayı hedefliyordu.
Checkmarx araştırmacıları, GitHub’da çeşitli kullanıcı adları aracılığıyla sunulan paketlerin şimdiden yaklaşık 75.000 kez indirildiğini ortaya çıkardı bir blog yazısında Bu hafta. Ayrıca hedef sistemden, çeşitli uygulamalardan ve tarayıcılardan ve hatta kullanıcıların kendisinden veri çalma yeteneğiyle topladıkları bilgiler açısından da geniş bir ağ oluşturuyorlar.
Dahası, kampanyanın kazançlı bir para kazanma yönü var gibi görünüyor: Checkmarx’a göre, işlemleri saldırgana yönlendirmek için kripto adreslerini değiştirerek kripto para birimi kullanıcılarını hedefliyor. Hatta bu işlemleri kabul eden kripto cüzdan adreslerinden biri, kötü amaçlı paketlerin aktif olduğu dönemde altı haneli bir miktar gösterdi.
Checkmarx güvenlik araştırmacısı Yehuda Gelb, gönderisinde şunları yazdı: “Bu dağıtımların hacmi ve kalıcılığı, iyi hazırlanmış bir gündeme sahip bir saldırganın varlığına işaret ediyordu.”
Üstelik saldırgan, düz metinden şifrelemeye ve çok katmanlı gizlemeye (hatta ikincil sökme yüklerine) geçiş yaparak paketlerin karmaşıklığında istikrarlı bir gelişme gösterdi.
Gelb, “Tehdit aktörlerinin en son paketleri, sistem savunmalarını ustalıkla ortadan kaldırarak sistemi açıkta ve savunmasız bırakıyor” diye yazdı.
Çok Aşamalı Evrim
Saldırgan, kötü amaçlı paketlerin Nisan ayı başında ortaya çıktıklarından bu yana geliştikçe etkinliklerine de yansıyan çok aşamalı bir saldırı dizisi kullandı.
Gelb’e göre başlangıçta düz metinle yazılan paketler “aldatıcı derecede şeffaftı”. “Kendilerini şüphelenmeyen sistemlere ustalıkla entegre ederler ve bu arada kötü niyetli çabalarına zemin hazırlarlar” diye yazdı.
Bu faaliyetler, bağımlılıkların gizli kurulumu ve herhangi bir konsol penceresinin kullanıcıları uyarmak için yüzeye çıkmasını önleyen bir alt süreçle başladı ve bunu, tespit işaretlerinde ortamın algılanarak etkinliğin durdurulması yeteneği takip etti.
Bu ilk aktivite sona erdiğinde paketler, virüs bulaşmış bir sistemden veri toplamak, Opera, Chrome, Microsoft Edge, Brave ve Yandex tarayıcılarından kullanıcı adları, şifreler, geçmiş, çerezler ve ödeme bilgileri dahil olmak üzere hassas verileri çıkarmak gibi gerçek görevlerine başlayacaktı. . Ayrıca Atomic, Exodus, Steam ve NationsGlory gibi çeşitli uygulamalardan veri çıkardılar ve verileri çıkarmadan önce ZIP dosyalarında paketlediler.
Bu ilk aşamadaki paketlerin diğer yetenekleri arasında, potansiyel olarak değerli dosyalar için kullanıcının dizinlerinde arama yapılması ve ardından bulunanların hxxps’e yüklenmesi yer alıyordu.[:]//Aktar[.]ş; Discord’un yanı sıra Minecraft ve Roblox gibi popüler oyun platformlarından rozetlerin, telefon numaralarının, e-posta adreslerinin ve daha fazlasının çalınması; ve gerçek zamanlı kullanıcı etkinliğini izlemek için ekran görüntüsü yakalama.
Kripto Soygunu ve Kaçınma Taktikleri
Kripto para unsuru aynı zamanda saldırıların ilk aşamasının da ayırt edici özelliğiydi. Paketlere yayılan kötü amaçlı yazılımlar, kullanıcının panosunu takip edecek ve kripto para birimi adreslerini tarayarak saldırganın kendi adresiyle değiştirilebilmesini sağlayacak.
Gelb, “Yönlendirilen fonları birkaç birincil toplama noktasına yönlendiren, merkezi bir stratejiye işaret eden sayısız kötü amaçlı pakette benzer kripto adresleri bulundu” dedi.
Paketlerin burada bitmediğini, aynı zamanda bir kripto cüzdan yönetimi uygulaması olan Exodus gibi uygulamalara müdahale ederek çekirdek dosyalarını “sınırsız veri sızıntısını” sağlayacak şekilde değiştirebileceğini yazdı.
Saldırgan, ilk paket dalgasının ardından yaz aylarında piyasaya sürülen kötü amaçlı yazılımın düz metnine şifreleme ekleyerek kötü amaçlı işlevselliğinin tespit edilmesini zorlaştırdı, ancak özünde davranış aynı kaldı.
En yeni paketler, koddaki harici bir kaynaktan getirilen ikincil verileri gizleyen düzinelerce gizleme katmanı da dahil olmak üzere bu aldatıcı uygulamaları daha da ileri götürdü.
Ayrıca, en yeni paketlerde yer alan ek veriler, önceki paketlerin veri toplama ve dışarı çıkarma yeteneklerini önemli ölçüde genişletti ve ayrıca kullanıcıların antivirüs yazılımı indirmesini veya dosyaları virüslere karşı kontrol etmesini engelleyebilecek daha fazla kaçırma taktiği içeriyordu.
Saldırganlar ayrıca Telegram’dan veri çalma ve kripto para birimi cüzdanları, sistem bilgileri, antivirüs bilgileri, görev listesi, Wi-Fi şifreleri, pano verileri gibi verileri ve Masaüstü, Resimler, Belgeler, Müzik, Videolar gibi dizinlerdeki belirli dosyaları çalma yeteneğini de ekledi. ve Araştırmacılara göre doğrudan hedef makineden indiriliyor.
Şüpheli Paketlere Dikkat
Tehdit aktörleri, yazılım tedarik zincirini hedeflemenin ve böylece diğer saldırı türlerinin gerektirebileceğinden önemli ölçüde daha az çabayla muazzam bir hedef tabanına ulaşmanın bir yolu olarak açık kaynak paketlerini silahlandırmanın değerini giderek daha fazla anlıyor.
Python, yazılım geliştirmedeki yaygın kullanımı göz önüne alındığında, programlama diline dayalı tüm projeleri zehirleyecek kadar ileri giden saldırganlar için özellikle popüler bir hedeftir.
Gelb, aslında, açık kaynak paketleri aracılığıyla kötü amaçlı yazılım dağıtımının devam eden bir tehdit olduğunu ve kuruluşların “buna karşı etkili bir şekilde korunmak için sürekli uyanıklık ve uyarlanabilirlik” sağlamasını gerektirdiğini yazdı.
Saldırganın tespit edilmekten kaçınmak için sürekli olarak geliştiği son Python kampanyasının keşfi, hem güvenlik profesyonellerinin açık kaynaklı tehdit istihbaratını paylaşmalarının hem de geliştiricilerin indirdikleri paketleri, özellikle de nereden geldiklerini dikkatlice incelemelerinin ne kadar önemli olduğunu vurguluyor. güvenilmeyen kaynaklar