10 Şubat 2023Ravie LakshmananTedarik Zinciri / Yazılım Güvenliği
Python Paket Dizininde dört farklı hileli paket (PyPI), kötü amaçlı yazılım bırakma, netstat yardımcı programını silme ve SSH yetkili_anahtarları dosyasını değiştirme dahil olmak üzere bir dizi kötü amaçlı eylem gerçekleştirdiği bulunmuştur.
Söz konusu paketler uygun, ürpertici2, üstlerVe tkint3rs, kaldırılmadan önce hepsi toplu olarak yaklaşık 450 kez indirildi. Aptx, Qualcomm’un kimliğine bürünme girişimidir. son derece popüler ses codec’i aynı adlı httops ve tkint3rs, sırasıyla https ve tkinter’ın yazım hatalarıdır.
Güvenlik araştırmacısı ve gazeteci Axe Sharma, “Bu paketlerin çoğu, kasıtlı olarak insanların kafasını karıştırmak için iyi düşünülmüş isimler içeriyordu.” söz konusu.
Kurulum komut dosyasına enjekte edilen kötü amaçlı kodun analizi, gizlenmiş bir kodun varlığını ortaya çıkarır. Meterpreter verisi bu “kılığına girmişbip“Python için yasal bir paket yükleyici” ve virüslü ana bilgisayara kabuk erişimi elde etmek için kullanılabilir.
kaldırmak için atılan adımlar da vardır. netstat ağ yapılandırmasını ve etkinliğini izlemenin yanı sıra .ssh/yetkili_keys dosyası uzaktan erişim için bir SSH arka kapısı kurmak.
Sharma, “Şimdi bu, açık kaynak ekosistemine başarılı bir şekilde giren zararlı kötü amaçlı yazılımların şık ama gerçek dünyadan bir örneği.” dedi.
Ancak Fortinet FortiGuard Labs, yazılım depolarına sızan kötü amaçlı yazılımın yinelenen bir tehdit olduğuna dair bir işaret olarak beş farklı paket ortaya çıkardı: web3-temel, 3m-promo-gen-api, ai-çözücü-gen, hypixel-madeni paralar, httpxrequesterv2Ve httpxistek sahibi – bunlar tasarlanmış ile hasat et ve dışarı sızdır hassas bilgi.
Açıklamalar, ReversingLabs’in, geliştiricileri indirmeleri için kandırmak üzere yasal abquery paketi kılığına girmek üzere tasarlanmış aabquerys adlı kötü niyetli bir npm modülüne ışık tutmasıyla geldi.
Gizlenmiş JavaScript kodu, kendi adına, bir Avast proxy ikili dosyası (wsc_proxy.exe) savunmasız olduğu bilinen DLL yandan yükleme saldırılar.
Bu, tehdit aktörünün bir komut ve kontrol (C2) sunucusundan üçüncü aşama bir bileşen olan Demon.bin’i getirmek üzere tasarlanmış kötü amaçlı bir kitaplığı çalıştırmasını sağlar.
“Demon.bin, adlı bir açık kaynak, kullanım sonrası, komut ve kontrol çerçevesi kullanılarak oluşturulan tipik RAT (uzaktan erişim truva atı) işlevlerine sahip kötü niyetli bir aracıdır. Tahribat,” ReversingLabs araştırmacısı Lucija Valentić söz konusu.
Ayrıca, aabquerys’in yazarının, aabquerys’in erken yinelemeleri olduğundan şüphelenilen aabquery ve nvm_jquery adlı diğer iki paketin birden çok sürümünü yayınladığı söyleniyor.
Havoc, kötü amaçlı yazılım kampanyalarında Manjusaka, Covenant, Merlin ve Empire gibi özel paketlerden yararlanan suçlu aktörlerle birlikte, vahşi ortamda tespit edilen tek C2 istismar çerçevesi değildir.
Bulgular ayrıca büyümenin altını çiziyor risk ile ilgili hain paketler yazılım tedarik zinciri üzerinde ciddi bir etkisi olabilecek npm ve PyPi gibi açık kaynak havuzlarında gizleniyor.
Popular Articles
- 18 Aug Evliliklerinin Ya da İlişkilerinin Nasıl Bitme Noktasına Geldiğini Paylaşan Takipçilerimizden Herkese Tanıdık Gelecek 20 An
- 14 Jul Şans Gibi Şans! İyi Projede Yer Alıp, Bir Dizi ile Yıldızı Parlayan 14 Ünlü İsim
- 25 Jul Nereden Çıktı Bu Çılgınlık? Serpme Kahvaltısız Yaşayamayan Tipleri Analiz Ediyoruz!
- 09 Aug SteamOS 3.3 Beta, Çeşitli Düzeltmeler ve Güncellenmiş Sürücülerle Geliyor
- 19 Aug Soykırım koalisyonu
Latest Articles
- 23 Jul Fiyatı 57 TL Olan Oyun, Kısa Süreliğine Ücretsiz Oldu
- 19 Jul Tesla, Full Self-Driving Betasını Önümüzdeki Hafta Yayınlayacak
- 14 Aug Otizm bakımına odaklanan SpectrumAi, 20 milyon dolar yatırım aldı
- 21 Jul Podcastlerde Gazzeden sesler geliyor
- 20 Jul Samsung’un duyurduğu son teknoloji 2nm ve 4nm AI çip teknolojisi