Python Paket Endeksi'nde (PYPI), şifreleri çalan, anlaşmazlık kimlik doğrulama çerezleri ve şüphesiz geliştiricilerin kripto para cüzdanlarında beş kötü niyetli paket bulundu.
PYPI, Python programlama dilinde oluşturulan paketler için bir yazılım deposudur. Dizin 200.000 pakete ev sahipliği yaparken, geliştiricilerin çeşitli proje gereksinimlerini karşılayan mevcut paketleri bulmasına izin verir, zaman ve çaba tasarrufu sağlar.
27 Ocak ve 29 Ocak 2023 arasında, bir tehdit oyuncusu PYPI'ye 'W4SP Stealer' bilgi çalan kötü amaçlı yazılımları içeren beş kötü amaçlı paket yükledi.
Paketler o zamandan beri kaldırılmış olsa da, zaten yüzlerce yazılım geliştiricisi tarafından indirilmişlerdir. Bu beş paket ve indirme istatistikleri:
Bu indirmelerin büyük çoğunluğu, paketlerin ilk yüklenmesini izleyen ilk birkaç gün içinde gerçekleşti, bu da bu kötü niyetli aktörleri aynı kodu PYPI'ye yeni paketler aracılığıyla ve yasaklandıklarında yeni bir hesap aracılığıyla yüklemeye çalışmaya teşvik etti.
Fortinet'teki güvenlik araştırmacıları paketleri keşfettiler ve kurulduklarında tarayıcılara, çerezlere ve kripto para cüzdanlarına kaydedilen şifreleri çalmaya çalıştıklarını buldular.
Fortinet, bilgi çalan kötü amaçlı yazılım türünü tanımlamasa da, BleepingComputer kötü amaçlı yazılımları PYPI'daki paketlerde ağır bir şekilde istismar eden W4SP Stealer olarak tanımladı.
Kötü amaçlı yazılım ilk olarak Google Chrome, Opera, Cesur Tarayıcı, Yandex Tarayıcı ve Microsoft Edge gibi web tarayıcılarından verileri çalıyor.
Daha sonra Discord, Discord PTB, Discord Canary ve LightCord istemcisinden kimlik doğrulama çerezlerini çalmaya çalışır.
Son olarak, kötü amaçlı yazılım, aşağıda gösterildiği gibi, Nations Glory Online oyunu için atom cüzdanı ve Çıkış kripto para cüzdanlarını ve çerezlerini çalmaya çalışacaktır.
Ayrıca, kötü amaçlı yazılım, operatörünün hesaplarını çalmasına yardımcı olacak hassas kullanıcı bilgilerini almaya çalışan bir web sitesi listesini hedefler.
Hedeflenen sitelerden bazıları şunlardır:
Meydan okulu makinede bulduğu tüm verileri topladıktan sonra, kötü amaçlı yazılım, tehdit oyuncusunun sunucusuna gönderen bir Discord Webhook kullanarak çalınan verileri yüklemek için "Yükleme" işlevini kullanır.
Discord WebHooks, kullanıcıların bir Discord sunucusuna dosya içeren mesajlar göndermelerine olanak tanır ve dosyaları, uyumsuzluk jetonlarını ve diğer bilgileri çalmak için yaygın olarak istismar edilir.
Fortinet ayrıca dosyaları belirli anahtar kelimeler için kontrol eden işlevlerin varlığını fark etti ve bulunursa "Transfer.sh" dosya aktarım hizmetini kullanarak bunları çalmaya çalışın. Anahtar kelimeler bankacılık, şifreler, paypal, kripto para birimi ve çok faktörlü kimlik doğrulama dosyaları ile ilgilidir.
Özellikle ilgi çekici olan, bazı anahtar kelimelerin Fransızca olması, tehdit oyuncusunun Fransa'dan olabileceğini göstermesidir.
Veri hırsızlığı için hedeflenen anahtar kelimelerin tam listesi aşağıda listelenmiştir:
PYPI ve NPM gibi paket depoları artık kötü amaçlı yazılım dağıtmak için yaygın olarak kullanıldığından, geliştiriciler projelerine eklemeden önce kodu paketlerdeki analiz etmelidir.
İndirilen pakette herhangi bir gizlenmiş kod veya olağandışı davranış varsa, depoya kullanılmamalı ve bunun yerine rapor edilmelidir.
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Kötü amaçlı "lolip0p" pypi paketleri Info-Renting kötü amaçlı yazılımları yükleyin
Kötü niyetli 'Sentinelone' Pypi paketi geliştiricilerden verileri çalıyor
Kötü niyetli PYPI paketleri, güvenlik duvarlarını atlamak için cloudflare tünelleri oluşturur
Pytorch, tatillerde kötü niyetli bağımlılık zinciri uzlaşmasını açıklar
Kaynak: Bleeping Computer