ESET Araştırması, resmi Python (programlama dili) paket deposu olan PyPI aracılığıyla dağıtılan bir dizi kötü amaçlı Python projesi keşfetti. Tehdit hem Windows hem de Linux sistemlerini hedef alıyor ve genellikle siber casusluk yeteneklerine sahip özel bir arka kapı sunuyor. Uzaktan komut yürütmeye ve dosya sızdırmaya izin verir ve bazen ekran görüntüsü alma özelliğini de içerir. Bazı durumlarda son yük, kişisel verileri ve kimlik bilgilerini çalan kötü şöhretli W4SP Stealer'ın bir çeşidi veya kripto para birimini çalmak için basit bir pano monitörü veya her ikisi olabilir. ESET, 116 projede kötü amaçlı yazılım içeren 53 dosya (kaynak dağıtımları ve tekerlekler) keşfetti. Geçtiğimiz yıl boyunca kurbanlar bu dosyaları 10,000'den fazla kez indirdi. Mayıs 2023'ten itibaren indirme oranı günde 80 civarındaydı.
PyPI, kod paylaşımı ve indirme konusunda Python programcıları arasında popülerdir. Herkes depoya katkıda bulunabileceğinden, bazen meşru, popüler kod kitaplıkları gibi görünen kötü amaçlı yazılımlar ortaya çıkabilir. "Bazı kötü amaçlı paket adları diğer meşru paketlere benziyor, ancak potansiyel kurbanlar tarafından kurulmalarının ana yolunun yazım hatası değil, 'ilginç' bir paket yüklemek için pip çalıştırma yoluyla yürütüldüğü sosyal mühendislik olduğuna inanıyoruz nedeni ne olursa olsun," diyor kötü amaçlı paketleri keşfedip analiz eden ESET araştırmacısı Marc-Étienne Léveillé.
Bu araştırmanın yayınlandığı tarihte paketlerin çoğu zaten PyPI tarafından kaldırılmıştı. ESET, kalanlarla ilgili harekete geçmek için PyPI ile iletişime geçti; şu anda bilinen tüm kötü amaçlı paketler çevrimdışı.
ESET, bu kampanyanın arkasındaki operatörlerin kötü amaçlı kodları Python paketlerine yerleştirmek için üç teknik kullandığını gözlemledi. İlk teknik, paketin içine hafifçe gizlenmiş kod içeren bir "test" modülü yerleştirmektir. İkinci teknik, Python projelerinin kurulumuna yardımcı olmak için genellikle pip gibi paket yöneticileri tarafından otomatik olarak çalıştırılan setup.py dosyasına PowerShell kodunu yerleştirmektir. Üçüncü teknikte, operatörler meşru kodu pakete dahil etmek için hiçbir çaba sarf etmezler, böylece yalnızca kötü amaçlı kod hafifçe gizlenmiş bir biçimde bulunur.
Tipik olarak son veri, uzaktan komut yürütme, dosya sızdırma ve bazen ekran görüntüsü alma becerisine sahip özel bir arka kapıdır. Windows'ta arka kapı Python'da uygulanır. Linux'ta arka kapı Go programlama dilinde uygulanır. Bazı durumlarda, arka kapı yerine kötü şöhretli W4SP Stealer'ın bir çeşidi kullanılır veya kripto para birimini çalmak için basit bir pano monitörü kullanılır veya her ikisi birden kullanılır. Pano monitörü Bitcoin, Ethereum, Monero ve Litecoin kripto para birimlerini hedefler.
"Python geliştiricileri indirdikleri kodu sistemlerine yüklemeden önce incelemelidir. PyPI'nin bu şekilde kötüye kullanılmasının devam edeceğini umuyoruz ve herhangi bir kamu yazılım deposundan kod yüklenirken dikkatli olunmasını tavsiye ediyoruz," diye bitiriyor Léveillé.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://mystartupworld.com/eset-reveals-malicious-python-targeting-windows-and-linux-systems/
