Windows ve Linux Sistemlerini Hedef Alan Tehdit Açığa Çıktı

ESET Research, resmi Python paket deposu olan PyPI aracılığıyla dağıtılan bir dizi makûs hedefli Python projesi keşfetti. Tehdit hem Windows hem de Linux sistemlerini gaye alıyor ve ekseriyetle siber casusluk yeteneklerine sahip özel bir art kapı sunuyor. Uzaktan komut yürütmeye ve evrak sızdırmaya müsaade veriyor ve bazen ekran imgesi alma özelliğini de içeriyor. Kimi durumlarda son yük, şahsî dataları ve kimlik bilgilerini çalan makus şöhretli W4SP Stealer’ın bir çeşidi yahut kripto para çalmak için kolay bir pano monitörü yahut her ikisi olabilir. ESET, 53 projede makûs maksatlı yazılım içeren 116 belge  keşfetti. Geçtiğimiz yıl boyunca kurbanlar bu evrakları 10 binden fazla sefer indirdi. Mayıs 2023’ten itibaren indirme sayısı günde 80 civarındaydı.

PyPI, kod paylaşımı ve indirme konusunda Python programcıları ortasında tanınan. Herkes depoya katkıda bulunabildiği için, bazen legal, tanınan kod kitaplıkları üzere görünen makûs hedefli yazılımlar ortaya çıkabiliyor. Makus hedefli paketleri keşfeden ve tahlil eden ESET araştırmacısı Marc-Étienne Léveillé şunları söyledi, “Bazı berbat emelli paket isimleri öbür yasal paketlere benziyor, lakin potansiyel kurbanlar tarafından yüklenmelerinin ana yolunun yazım yanılgısı ile değil toplumsal mühendislik üzerinden gerçekleştiğine inanıyoruz.”

Bu araştırmanın yayımlandığı tarihte paketlerin birçok esasen PyPI tarafından kaldırılmıştı. ESET, kalanlarla ilgili harekete geçmek için PyPI ile irtibat kurdu ve şu anda bilinen tüm makus maksatlı paketler çevrimdışı hale getirildi.

ESET, bu kampanyanın gerisindeki operatörlerin makûs hedefli kodları Python paketlerine yerleştirmek için üç teknik kullandığını gözlemledi. Birinci teknik, paketin içine çarçabuk gizlenmiş kod içeren bir “test” modülü yerleştirmek. İkinci teknik, Python projelerinin kurulumuna yardımcı olmak için ekseriyetle pip üzere paket yöneticileri tarafından otomatik olarak çalıştırılan setup.py belgesine PowerShell kodunu yerleştirmek. Üçüncü teknikte, operatörler legal kodu pakete dahil etmek için hiçbir uğraş sarf etmezler, böylelikle sadece berbat maksatlı kod çarçabuk gizlenmiş bir biçimde bulunur.

Tipik olarak son yük, uzaktan komut yürütme, belge sızdırma ve bazen ekran imgesi alma marifetine sahip özel bir art kapıdır. Windows’ta art kapı Python’da uygulanıyor. Linux’ta art kapı Go programlama lisanında uygulanıyor. Birtakım durumlarda son yük, art kapı yerine makus şöhretli W4SP Stealer’ın bir çeşidi yahut kripto para çalmak için kolay bir pano monitörü yahut her ikisi de kullanılabiliyor. Pano monitörü Bitcoin, Ethereum, Monero ve Litecoin kripto para ünitelerini hedefliyor.

Léveillé kelamlarını söyle sonlandırdı, “Python geliştiricileri indirdikleri kodu sistemlerine yüklemeden evvel incelemeliler. PyPI’nin bu halde berbata kullanılmasının devam etmesini bekliyoruz ve rastgele bir kamu yazılım deposundan kod yüklenirken dikkatli olunmasını tavsiye ediyoruz.”