Bir Counter-Strike 1.6 sunucusunda DDoS saldırıları gerçekleştiren bir yazım hatası saldırısında bu hafta sonu PyPi deposuna bir düzine kötü niyetli Python paketi yüklendi.
Python Paket Dizini (PyPi), geliştiricilerin minimum çabayla karmaşık uygulamalar oluşturmak için Python projelerine kolayca dahil edebilecekleri açık kaynaklı yazılım paketleri deposudur.
Ancak, herkes depoya paketleri yükleyebildiğinden ve paketler kötü niyetli olarak bildirilmedikçe kaldırılmadığından, depo, geliştirici kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak için kullanan tehdit aktörleri tarafından daha yaygın olarak kötüye kullanılıyor.
Kötü niyetli bir yazım hatası kampanyası
Bu hafta sonu, Checkmarx’taki araştırmacılar, “devfather777” adlı bir kullanıcının, yazılım geliştiricilerini kötü niyetli sürümleri kullanmaya kandırmak için diğer popüler paketlere benzer bir ad kullanan 12 paket yayınladığını keşfetti.
Typosquatting saldırıları, geliştiricilerin yanlışlıkla meşru olana benzer bir ada sahip kötü amaçlı bir paket kullanmasına dayanır. Örneğin, bu kampanyadaki paketlerden bazıları ve bunların meşru karşılıkları (parantez içinde) Gesnim (Gensim), TensorFolw (TensorFlow) ve ipadres’tir (ipadres).

Yüklenen kötü amaçlı PyPi paketlerinin tam listesi:
Gesnim
Kears
TensorFolw
Seabron
tqmd
lxlm
mokc
ipaddres
ipadress
falsk
douctils
inda
Yazılım geliştiriciler genellikle bu paketleri terminal aracılığıyla getirdiğinden, adını bir harfle yanlış sırada yazmak kolaydır. İndirme ve derleme beklendiği gibi devam ettiğinden, kurban hatanın farkına varmaz ve cihazına bulaşır.
CheckMarx paketleri PyPi deposuna bildirirken, bu yazının yazıldığı sırada çevrimiçi kalıyorlar.
CounterSrike sunucularını hedefleme
Bu kötü niyetli Python paketlerinden birini indirip uygulamalarında kullandıktan sonra, setup.py içindeki gömülü kod, ana bilgisayarın bir Windows sistemi olduğunu doğrulamak için çalışır ve eğer öyleyse, GitHub’dan bir yük (test.exe) indirir.
.png)
Tarandığında VirüsToplam69 antivirüs motorundan yalnızca 11’i dosyayı kötü amaçlı olarak işaretler, bu nedenle C++ ile yazılmış nispeten yeni/gizli bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım kendini yükler ve sistem yeniden başlatmaları arasında kalıcılık için bir Başlangıç girişi oluştururken aynı zamanda süresi dolmuş sistem çapında bir Kök sertifikası da enjekte eder.
Ardından, yapılandırmasını almak için kodlanmış bir URL’ye bağlanır. Bu üçüncü denemede başarısız olursa, DGA (etki alanı oluşturma algoritması) adreslerine gönderilen HTTP isteklerine yanıt arar.
“Yazılım tedarik zinciri ekosisteminde DGA’yı veya bu durumda, kötü amaçlı kampanya için yeni talimatlar için oluşturulan adı tahsis etmek için UGA’yı kullanan bir kötü amaçlı yazılım (suşu) ilk kez görüyoruz.” yorumlar Checkmarx raporda.
.png)
Analistler tarafından gözlemlenen durumda, yapılandırma, kötü amaçlı yazılımın ana bilgisayarı bir Rus Counter-Strike 1.6 sunucusuna trafik göndermeye başlayan bir DDoS botuna almasını emretti.
Amaç, gönderilen trafiğin sunucuyu bunaltmasına yetecek kadar cihaza bulaşarak Counter-Strike Sunucusunu çökertmek gibi görünüyor.
Kötü amaçlı yazılımı barındırmak için kullanılan GitHub deposu kaldırıldı, ancak tehdit aktörü, farklı bir dosya barındırma hizmetini kötüye kullanarak kötü niyetli işlemi sürdürebilir.
Bahsedilen 12 paketi kullanıyorsanız ve bu hafta sonu bir yazım hatası yapmışsanız, projelerinizi gözden geçirin ve yasal yazılım paketlerini kullanıp kullanmadığınızı bir kez daha kontrol edin.