Bir düzine kötü niyetli PyPi paketi, Discord istemcisini bilgi sızdırmaz bir arka kapı olacak ve web tarayıcılarından veri çalacak şekilde değiştiren kötü amaçlı yazılım yükleyen keşfedildi. roblox.
On iki paket, 1 Ağustos 2022’de Python Paket Endeksi’ne (PyPI) “adlı bir kullanıcı tarafından yüklendi.korkutucu kodlayıcı”ve Snyk’teki araştırmacılar tarafından keşfedildi.
Yaygın yazım hatası yaklaşımının aksine, bu paketler kendi adlarını kullanır ve ilgili geliştiricilere kendilerini tanıtmak için çeşitli özellikler vaat eder.
Python paketleri Roblox araçları, iş parçacığı yönetimi ve temel bilgisayar korsanlığı modülleri gibi görünüyor, ancak hiçbiri vaat edilen işlevselliğe sahip değil. Bunun yerine paketler, geliştiricilerin cihazlarına parola çalan kötü amaçlı yazılımlar yükler.
Ne yazık ki, bu kötü niyetli PyPi Python paketleri seti, bu yazı yazılırken açık kaynak paket deposundan kaldırılmadı, bu nedenle yazılım geliştiricileri hala risk altında.
kirli bir düzine
Yeni bir parçası olarak Snyk tarafından raporaraştırmacılar, “setup.py” dosyasında gizlenmiş kötü amaçlı kodun bir Discord CDN sunucusundan iki kötü amaçlı yazılım yürütülebilir dosyasını, yani “ZYXMN.exe” ve “ZYRBX’i yüklemek için nasıl kullanıldığını gösteren “cyphers” adlı bu kötü amaçlı Python paketlerinden birini analiz ediyor. exe.”
Davranış, “Main.exe” adlı tek bir kötü amaçlı yürütülebilir dosya kullanan “hackerfilelol” ve “hackerfileloll” dışında kümedeki tüm paketler için aynıdır.
İlk ikili dosya olan ZYXMN.exe, bilgi çalmak için kullanılır. Google Saklanan şifreler, tarayıcı geçmişi, çerezler ve arama geçmişi dahil Chrome, Chromium, Microsoft Edge, Firefox ve Opera.
Tarayıcılardan bilgi çalmak için kötü amaçlı yazılım, kurbanın arama geçmişi, tarama geçmişi, çerezler, yer imleri, saklanan şifreler ve saklanan kredi kartlarının açık metin verilerini almak için web tarayıcısının yerel veritabanı ana anahtarının şifresini çözecektir. Bu bilgiler daha sonra bir Discord web kancası aracılığıyla tehdit aktörlerine yüklenir.
Bununla birlikte, daha da ilginç olanı, kötü amaçlı yazılım, Discord istemcisi tarafından kullanılan gerçek JavaScript dosyalarını, doğrudan Discord hesabınızdan bilgi çalabilecek bir arka kapı enjekte etmek için değiştirecektir.
Kötü amaçlı yazılım, Discord’dan veri çalmak için ‘discord_desktop_core’ klasörü altındaki index.js dosyasını değiştirerek kötü amaçlı yazılımı ekler. Discord-Enjeksiyon senaryo. Bu enjeksiyon için hedeflenen müşteriler Discord, Discord Geliştirme, Discord Canary ve Discord PTB’dir (Genel Test Yapısı).
Enjekte edilen komut dosyasıyla, Discord yeniden başlatıldığında, kimlik doğrulama jetonlarını, Nitro durumunu, fatura bilgilerini ve kredi kartlarını çalmak dahil olmak üzere çeşitli olumsuz davranışlar sergileyecektir.
İkinci kötü amaçlı yazılım olan ZYRBX.exe, yalnızca robloxçevrimiçi oyun platformunun hesap çerezini, kullanıcı kimliğini, Robux bakiyesini ve hesap Premium durumunu çalmaya ve bir Discord web kancasına sızdırmaya çalışmak.
PyPI’de daha fazla kötü amaçlı yazılım
Dün, Kaspersky bir rapor yayınladı burada bilgi çalan kötü amaçlı yazılım içeren ve ayrıca Discord istemcisini değiştiren iki PyPi paketi daha sundu.
Bu paketlerdeki hırsızlar, kripto para cüzdanlarından, Steam ve Minecraft’tan hesap kimlik bilgilerini toplamaya odaklanırken, enjekte edilen bir komut dosyası e-posta adresleri, şifreler ve fatura bilgileri gibi girdileri izler.
Bu adımdan sonra hırsız, 2FA kurtarma listelerini, parola metin dosyalarını, Discord belirteçlerini, Paypal hesap bilgilerini ve daha fazlasını bulmak için ana bilgisayarın İndirilenler, Belgeler ve Masaüstü klasörlerini tarar.
Kaspersky tarafından keşfedilen kötü niyetli ikili, milyonlarca indirmeye sahip projeleri taklit eden ve hatta kodlarını klonlayan “pyquest” ve “ultrarequests”.
PyPI’nin kötü amaçlı paket raporlarına yanıtı yavaş görünüyor ve kötü amaçlı paketler bildirildikten sonra günlerce çevrimiçi kalıyor. Bu muhtemelen, sınırlı bir bütçeye sahip küçük bir gönüllü ekibinin bunalmış olmasının sonucudur. sürekli kötü amaçlı yazılım yüklemeleri.
Ne yazık ki bu, kötü amaçlı paketlere daha fazla çalışma süresi sağlar ve yazılım geliştiricilerin bu kötü amaçlı yazılımın kurbanı olma şansını artırır.