Python Paket Dizin (PYPI) üzerindeki 'Pycord-ben' adlı kötü niyetli bir paket, anlaşmazlık geliştiricilerini kimlik doğrulama jetonlarını çalmayı ve sistem üzerinde uzaktan kumanda için bir arka kapı dikmeyi hedefler.
Paket, yaklaşık 28 milyon indirime sahip olan ve hatta meşru projenin işlevselliğini sunan son derece popüler 'Discord.py-ben kendini' taklit ediyor.
Resmi paket, Discord'un kullanıcı API'sı ile iletişim sağlayan ve geliştiricilerin hesapları programlı olarak kontrol etmesine izin veren bir Python kütüphanesidir.
Genellikle etkileşimlerin mesajlaşma ve otomatikleştirilmesi, anlaşmazlık botlarının oluşturulması, otomatik ılımlılığın komut dosyası, bildirimler veya yanıtlar ve komutları çalıştırma veya bot hesabı olmadan anlaşmazlıktan veri almak için kullanılır.
Code Security Company Socket'e göre, geçen yıl Haziran ayında PYPI'ye kötü niyetli paket eklendi ve şimdiye kadar 885 kez indirildi.
Yazma sırasında, paket PYPI'da detaylarını platform tarafından doğrulanan bir yayıncıdan hala mevcuttur.
Soket araştırmacıları kötü niyetli paketi analiz ettiler ve Pycord-Ben'in iki ana şey gerçekleştiren kod içerdiğini buldu. Biri, anlaşmazlık kimlik doğrulama belirteçlerini kurbandan çalmak ve harici bir URL'ye göndermektir.
Saldırganlar, iki faktörlü kimlik doğrulama koruması etkin olsa bile, erişim kimlik bilgilerine ihtiyaç duymadan geliştiricinin uyumsuzluk hesabını ele geçirmek için çalıntı jetonu kullanabilir.
Kötü niyetli paketin ikinci işlevi, 6969 bağlantı noktasından uzak bir sunucuya kalıcı bir bağlantı oluşturarak gizli bir arka kapı mekanizması kurmaktır.
"İşletim sistemine bağlı olarak, saldırgana kurbanın sistemine sürekli erişim sağlayan bir kabuk (" Bash "veya pencerelerde" CMD ") başlatır."
"Arka kapı ayrı bir iş parçacığında çalışır ve paket işlevsel görünmeye devam ederken tespit etmeyi zorlaştırır."
Yazılım geliştiricilerine, kodun resmi yazardan geldiğini kontrol etmeden paketleri yüklemekten kaçınmaları tavsiye edilir, özellikle de popülerse. Paketin adının doğrulanması, yazım hatası kurbanı düşme riskini de azaltabilir.
Açık kaynaklı kütüphanelerle çalışırken, mümkünse şüpheli işlevlerin kodunu gözden geçirmeniz ve gizlenmiş görünen bir şeyden kaçınmanız tavsiye edilir. Ayrıca, tarama araçları kötü niyetli paketlerin tespit edilmesine ve engellenmesine yardımcı olabilir.
MFA başarısızlıkları - en kötüsü henüz gelmedi
Süresi dolmuş alan adlarını kaydederek 4.000'den fazla backdoor kaçırıldı
Bilgisayar korsanları, yönetici CSRF tokenlerini çalmak için Keriocontrol Güvenlik Duvarı Kusurundan İstismar
Github projelerinde 3.1 milyondan fazla sahte "yıldız"
Microsoft, .NET yükleyici bağlantısını güncellemek için acil geliştirme uyarısı
Kaynak: Bleeping Computer