Python Paket Dizininde (PyPI) keşfedilen kötü amaçlı bir paket, Kroll’daki tehdit avcılarının “siber suçun demokratikleşmesi” olarak adlandırdığı, kötü adamların başkalarının kodlarından kötü amaçlı yazılım varyantları oluşturduğu şeyin en son örneğidir.
hizmet olarak trendini yansıtır. fidye yazılımıDağıtılmış Hizmet Reddi (DDoS) ve çok az beceriye sahip veya hiç beceriye sahip olmayan dolandırıcıların kendi saldırılarını başlatmak için silah kiralamasına veya satın almasına olanak tanıyan diğer kötü amaçlı yazılımlar. Bu durumda, kötü amaçlı yazılımı PyPI’ye yüklenen paketlerde oluşturmak için birden çok kaynaktan gelen kodu bir araya getirmek anlamına gelir.
Kötü niyetli paketleri PyPIGitHub, NPM, RubyGemsve diğer havuzlar ve geliştiricileri yanlışlıkla ürünlerine koymaya ikna etmek, hızla büyüyen bir parçasıdır. tehditler yazılım tedarik zincirine karşı.
PyPI’yi kötü amaçlı paketlere karşı daha iyi izlemek için bir araç geliştiren Kroll araştırmacıları, “Renk Körü” adını verdikleri “renk aptalı” adlı bir araç keşfettiler.
Paket, Python’da yazılmış tam özellikli bir bilgi hırsızı ve uzaktan erişim truva atı (RAT) yetenekleriyle birlikte geldi. Tek amacı internetten bir dosya indirmek, onu kullanıcılardan gizlemek ve çalıştırmak olan “şüpheli derecede büyük” tek bir Python dosyası vardı.
Araştırmacılar Dave Truman ve George Glass, “Bu nedenle, işlev hemen şüpheli ve muhtemelen kötü niyetli göründü” diye yazdı. rapor Perşembe.
İnternetten kaynak indirmek için sabit kodlanmış bir URL kullanmak da dahil olmak üzere, bir dizi başka şüpheli etkinlik göstergesi vardı. Dosya, keylogging ve tanımlama bilgileri dahil olmak üzere bilgi çalma işlevlerine sahip Python betiği – code.py – içeriyordu.
RAT, şifre toplama, uygulamaları sonlandırma, kullanıcının masaüstünün ekran görüntülerini alma, IP verilerini arama ve ekrana koyma, kripto para cüzdanı bilgilerini çalma ve bir web kamerası aracılığıyla kullanıcıyı gözetleme gibi bir dizi yetenekle geldi.
Kodu bir araya getirmek
Truman ve Glass, dosyadaki bazı kodları “açıkça kötü amaçlı” olarak tanımladılar ve bir örneğin, konumunu Windows’ta Microsoft Defender Antivirus için dışlama yoluna ekleyerek virüsten koruma yazılımını geçmek için tasarlanmış bir işlev olduğunu söylediler.
Kodun diğer bölümleri, temelde yalnızca iki karakter içeren basit bir kalıpla adlandırılan değişkenler olan, zayıf bir şaşırtma girişimini gösteriyordu.
Tüm bunlar, Kroll araştırmacılarını muhtemelen diğerlerinden türetilen parçalardan oluşan kötü amaçlı yazılımlarla uğraştıklarına ikna etti.
“Bariz kötü niyetli kodun yanı sıra gizleme kombinasyonu, tüm kodun tek bir varlık tarafından geliştirilme olasılığının düşük olduğunu gösteriyor” diye yazdılar. “Son geliştiricinin çoğunlukla başkalarının kodunu kopyalayıp yapıştırarak eklemesi mümkündür.”
Başka bir gösterge, kötü amaçlı yazılımın bir sanal makine içinde çalışıp çalışmadığını belirleme işlevi ve sistemde çalışan güvenlik araştırma araçlarının olup olmadığını görmek için başka bir işlev içermesiydi. Bu tür kaçamak davranışlar genellikle, saldırgan kötü amaçlı yazılımı kötü amaçlı olarak etiketleyebilen otomatik bir güvenlik sanal alanında çalıştırmaktan kaçınmak istediğinde görülür.
“Ancak bu durumda, kötü amaçlı yazılım bilgileri aldıktan sonra çoğuyla hiçbir şey yapmıyor” diye yazdılar. “Örneğin, güvenlik araştırma aracı aramasının sonucuna asla başvurulmuyor veya kontrol edilmiyor. Bu davranış, kodun birden fazla kaynaktan çalındığı ve son geliştiricinin yöntemlerinde özellikle karmaşık olmayabileceği hipotezini güçlendiriyor.”
Kötü amaçlı yazılım geliştiricisi ayrıca, muhtemelen doğrudan bir GitHub deposundan kopyalanan ve bir amaca hizmet etmiyor gibi görünen gömülü bir “Snake” oyunu da içeriyor, bu da kodun düzensiz kaynak kullanımının bir başka kanıtı.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin’e göre Kroll’un bulduğu şey, siber suçun “demokratikleşmesi”nden çok, onun “metalaşması”ydı.
“Tehdit aktörleri bir süredir iş modellerini uyarlıyorlar ve şimdiden karanlık ağda bir hizmet olarak suç sunma noktasına geldiler ve bir müşterinin özel ihtiyaçlarını karşılamak için saldırı bileşenlerini karıştırıp eşleştirebilen komisyonculara sahipler. Parkin anlattı Kayıt.
Kötü niyetli kişilere kötü amaçlı paketlerini geliştiricilerin önüne çıkarmaları için daha kolay bir yol sağlayan kod havuzlarına yönelik saldırılar da olmaya devam edecek.
“İşin büyük bir bölümünü hedefe yaptırarak saldırı zincirindeki birkaç adımı atlıyorlar” dedi. “Bu onları özellikle davetkar bir hedef yapıyor ve depolar onu durdurmak için savunmalar devreye girene kadar tehdit aktörlerinin bu yaklaşımda kalmalarını bekleyebiliriz… Bu delikler kapandığında, saldırganlar yenilerini bulacaktır.” ®