Kullanıcıların Giriş Bilgilerini Çalmak İçin Hedef Alan İki Yeni Kötü Amaçlı PyPI Paketi

25.12.2024

Kasım 2024’te yüklenen ve Zebo-0.1.0 ile Cometlogger-0.1 adlı iki yeni kötü amaçlı PyPI paketi, kullanıcı güvenliği konusunda ciddi endişeler yarattı. Bu paketler, giriş bilgileri, tarama geçmişi ve finansal bilgiler gibi hassas verileri çalmak için tasarlanmış olup, geliştiriciler ve kullanıcılar için ciddi bir tehdit oluşturuyor. Bu kötü amaçlı paketlerin keşfi, açık kaynaklı yazılım depolarını kullanırken dikkatli olunması gerektiğini bir kez daha vurguluyor.

Zebo-0.1.0, tespitten kaçınmak için gelişmiş gizleme teknikleri kullanıyor; bunlar arasında iletişim URL’lerini gizlemek için altıgen kodlanmış dizeler ve Firebase veritabanıyla veri sızdırmak için HTTP istekleri bulunuyor. Bu sinsi yaklaşım, otomatik savunma mekanizmalarını atlatmasını sağlıyor ve tehdidi daha da tehlikeli hale getiriyor. Kötü amaçlı yazılım, pynput kütüphanesini kullanarak her tuş vuruşunu kaydediyor, bu verileri yerel olarak saklıyor ve ardından uzak bir sunucuya yüklüyor. Ayrıca periyodik olarak ekran görüntüleri alıp harici bir sunucuya göndererek kullanıcı gizliliğini daha da tehlikeye atıyor.

Zebo’nun en endişe verici özelliklerinden biri, devamlılık mekanizmasıdır. Windows Başlangıç klasöründe bir script ve toplu işlem dosyası oluşturarak her sistem yeniden başlatıldığında çalışmaya devam etmesini sağlıyor. Bu mekanizma, kötü amaçlı yazılımın sistemde uzun süre kalmasını mümkün kılıyor ve sürekli bir güvenlik riski oluşturuyor. Ayrıca Zebo, uzaktan komut ve kontrol URL’lerini dinamik dosya manipülasyonu ile gömerek saldırganların uzaktan komut yürütmesine ve veri çıkarmasına olanak tanıyor.

Cometlogger-0.1, çerezler, kayıtlı parolalar, oturum bilgileri ve kripto para cüzdanı kimlik bilgileri gibi tarayıcı verilerini hedefliyor. Tarayıcı dosyalarını şifrelerini çözerek Discord, Instagram ve Twitter gibi platformlardan hassas bilgileri çıkartabiliyor. Cometlogger ayrıca, araştırmacıların genellikle kullandığı sanal alan ortamlarından kaçınmak için anti-VM tekniklerini kullanarak tespitten kurtulabiliyor.

Zebo-0.1.0 ve Cometlogger-0.1’in ortaya çıkışı, açık kaynak ekosistemindeki büyüyen tehditleri bir kez daha gözler önüne seriyor. Bu olaylar, kişisel ve kurumsal verileri kötü niyetli aktörlerden korumak için güçlü güvenlik önlemlerinin uygulanmasının önemini hatırlatıyor. En iyi uygulamaları benimseyerek ve dikkatli davranarak, kullanıcılar sistemlerini daha iyi koruyabilir ve daha güvenli bir geliştirme ortamına katkıda bulunabilir.