Gizli, Hırsız Python Paketleri Windows Sistemlerine Kayıyor - Dünyadan Güncel Teknoloji Haberleri

Gizli, Hırsız Python Paketleri Windows Sistemlerine Kayıyor - Dünyadan Güncel Teknoloji Haberleri
000 kez indirildiğini ortaya çıkardı bir blog yazısında Bu hafta

Gelb, “Tehdit aktörlerinin en son paketleri, sistem savunmalarını ustalıkla ortadan kaldırarak sistemi açıkta ve savunmasız bırakıyor” diye yazdı

Saldırganlar ayrıca Telegram’dan veri çalma ve kripto para birimi cüzdanları, sistem bilgileri, antivirüs bilgileri, görev listesi, Wi-Fi şifreleri, pano verileri gibi verileri ve Masaüstü, Resimler, Belgeler, Müzik, Videolar gibi dizinlerdeki belirli dosyaları çalma yeteneğini de ekledi

Saldırganın tespit edilmekten kaçınmak için sürekli olarak geliştiği son Python kampanyasının keşfi, hem güvenlik profesyonellerinin açık kaynaklı tehdit istihbaratını paylaşmalarının hem de geliştiricilerin indirdikleri paketleri, özellikle de nereden geldiklerini dikkatlice incelemelerinin ne kadar önemli olduğunu vurguluyor

Çok Aşamalı Evrim

Saldırgan, kötü amaçlı paketlerin Nisan ayı başında ortaya çıktıklarından bu yana geliştikçe etkinliklerine de yansıyan çok aşamalı bir saldırı dizisi kullandı

Kripto Soygunu ve Kaçınma Taktikleri

Kripto para unsuru aynı zamanda saldırıların ilk aşamasının da ayırt edici özelliğiydi

Python, yazılım geliştirmedeki yaygın kullanımı göz önüne alındığında, programlama diline dayalı tüm projeleri zehirleyecek kadar ileri giden saldırganlar için özellikle popüler bir hedeftir kötü amaçlı Python paketleri Windows sistemlerinden hassas verileri ve kripto para birimini çalmayı hedefliyordu

Saldırgan, ilk paket dalgasının ardından yaz aylarında piyasaya sürülen kötü amaçlı yazılımın düz metnine şifreleme ekleyerek kötü amaçlı işlevselliğinin tespit edilmesini zorlaştırdı, ancak özünde davranış aynı kaldı

En yeni paketler, koddaki harici bir kaynaktan getirilen ikincil verileri gizleyen düzinelerce gizleme katmanı da dahil olmak üzere bu aldatıcı uygulamaları daha da ileri götürdü ve Araştırmacılara göre doğrudan hedef makineden indiriliyor

Bu faaliyetler, bağımlılıkların gizli kurulumu ve herhangi bir konsol penceresinin kullanıcıları uyarmak için yüzeye çıkmasını önleyen bir alt süreçle başladı ve bunu, tespit işaretlerinde ortamın algılanarak etkinliğin durdurulması yeteneği takip etti

Ayrıca, en yeni paketlerde yer alan ek veriler, önceki paketlerin veri toplama ve dışarı çıkarma yeteneklerini önemli ölçüde genişletti ve ayrıca kullanıcıların antivirüs yazılımı indirmesini veya dosyaları virüslere karşı kontrol etmesini engelleyebilecek daha fazla kaçırma taktiği içeriyordu Paketlere yayılan kötü amaçlı yazılımlar, kullanıcının panosunu takip edecek ve kripto para birimi adreslerini tarayarak saldırganın kendi adresiyle değiştirilebilmesini sağlayacak

Bu ilk aktivite sona erdiğinde paketler, virüs bulaşmış bir sistemden veri toplamak, Opera, Chrome, Microsoft Edge, Brave ve Yandex tarayıcılarından kullanıcı adları, şifreler, geçmiş, çerezler ve ödeme bilgileri dahil olmak üzere hassas verileri çıkarmak gibi gerçek görevlerine başlayacaktı “Kendilerini şüphelenmeyen sistemlere ustalıkla entegre ederler ve bu arada kötü niyetli çabalarına zemin hazırlarlar” diye yazdı

Paketlerin burada bitmediğini, aynı zamanda bir kripto cüzdan yönetimi uygulaması olan Exodus gibi uygulamalara müdahale ederek çekirdek dosyalarını “sınırsız veri sızıntısını” sağlayacak şekilde değiştirebileceğini yazdı

Bu ilk aşamadaki paketlerin diğer yetenekleri arasında, potansiyel olarak değerli dosyalar için kullanıcının dizinlerinde arama yapılması ve ardından bulunanların hxxps’e yüklenmesi yer alıyordu ”

Üstelik saldırgan, düz metinden şifrelemeye ve çok katmanlı gizlemeye (hatta ikincil sökme yüklerine) geçiş yaparak paketlerin karmaşıklığında istikrarlı bir gelişme gösterdi güvenilmeyen kaynaklar



siber-1

Checkmarx güvenlik araştırmacısı Yehuda Gelb, gönderisinde şunları yazdı: “Bu dağıtımların hacmi ve kalıcılığı, iyi hazırlanmış bir gündeme sahip bir saldırganın varlığına işaret ediyordu



Bir tehdit aktörü, yazılım tedarik zincirini yüzlerce tehditle donatmak için Nisan başından bu yana “amansız bir kampanya” yürütüyor

Gelb, aslında, açık kaynak paketleri aracılığıyla kötü amaçlı yazılım dağıtımının devam eden bir tehdit olduğunu ve kuruluşların “buna karşı etkili bir şekilde korunmak için sürekli uyanıklık ve uyarlanabilirlik” sağlamasını gerektirdiğini yazdı Hatta bu işlemleri kabul eden kripto cüzdan adreslerinden biri, kötü amaçlı paketlerin aktif olduğu dönemde altı haneli bir miktar gösterdi

Gelb’e göre başlangıçta düz metinle yazılan paketler “aldatıcı derecede şeffaftı”

Dahası, kampanyanın kazançlı bir para kazanma yönü var gibi görünüyor: Checkmarx’a göre, işlemleri saldırgana yönlendirmek için kripto adreslerini değiştirerek kripto para birimi kullanıcılarını hedefliyor Ayrıca hedef sistemden, çeşitli uygulamalardan ve tarayıcılardan ve hatta kullanıcıların kendisinden veri çalma yeteneğiyle topladıkları bilgiler açısından da geniş bir ağ oluşturuyorlar

Şüpheli Paketlere Dikkat

Tehdit aktörleri, yazılım tedarik zincirini hedeflemenin ve böylece diğer saldırı türlerinin gerektirebileceğinden önemli ölçüde daha az çabayla muazzam bir hedef tabanına ulaşmanın bir yolu olarak açık kaynak paketlerini silahlandırmanın değerini giderek daha fazla anlıyor

Checkmarx araştırmacıları, GitHub’da çeşitli kullanıcı adları aracılığıyla sunulan paketlerin şimdiden yaklaşık 75

Gelb, “Yönlendirilen fonları birkaç birincil toplama noktasına yönlendiren, merkezi bir stratejiye işaret eden sayısız kötü amaçlı pakette benzer kripto adresleri bulundu” dedi [:]//Aktar[ Ayrıca Atomic, Exodus, Steam ve NationsGlory gibi çeşitli uygulamalardan veri çıkardılar ve verileri çıkarmadan önce ZIP dosyalarında paketlediler ]ş; Discord’un yanı sıra Minecraft ve Roblox gibi popüler oyun platformlarından rozetlerin, telefon numaralarının, e-posta adreslerinin ve daha fazlasının çalınması; ve gerçek zamanlı kullanıcı etkinliğini izlemek için ekran görüntüsü yakalama