Hackerlar, PyPI Üzerinde Sahte 'Crytic-Compilers' Paketi ile Python Geliştiricilerini Hedef Alıyor

06.06.2024

Cybersecurity araştırmacıları, Python Package Index (PyPI) deposuna yüklenmiş ve Lumma (LummaC2 olarak da bilinen) adlı bir bilgi çalıcıyı dağıtmak üzere tasarlanmış kötü niyetli bir Python paketini ortaya çıkardı.

Bahsedilen paket, crytic-compile adlı kütüphanenin bir yazım hatası versiyonu olan crytic-compilers adlı pakettir. Bu sahte paket, PyPI yöneticileri tarafından kaldırılmadan önce 441 kez indirildi.

"Bu sahte kütüphane özellikle dikkate değerdir çünkü, yasal Python aracı 'crytic-compile' ile benzer şekilde adlandırılmasının yanı sıra, gerçek kütüphanenin sürüm numaralarıyla da uyumlu," dedi Sonatype güvenlik araştırmacısı Ax Sharma.

Gerçek kütüphanenin son sürümü 0.3.7'de dururken, sahte 'crytic-compilers' sürümü buradan başlayıp 0.3.11'e kadar devam ediyor, bu da bunun bileşenin daha yeni bir sürümü olduğu izlenimini yaratıyor.

Aldatmacayı daha da ileri götürmek için, crytic-compilers'ın bazı sürümlerinin (örneğin, 0.3.9) setup.py betiğinde bir değişiklik yaparak gerçek paketi yüklediği bulundu.

Ancak, en son sürüm, iyi niyetli bir kütüphane olma iddiasından vazgeçerek işletim sisteminin Windows olup olmadığını kontrol ediyor ve öyleyse, ek yükler almak için tasarlanmış bir yürütülebilir dosya ("s.exe") çalıştırıyor, bunlar arasında Lumma Stealer da var.

Lumma, kötü amaçlı yazılım olarak hizmet (MaaS) modeli altında mevcut olan bir bilgi çalıcıdır ve trojan yazılımları, kötü niyetli reklamlar ve sahte tarayıcı güncellemeleri gibi çeşitli yöntemlerle dağıtılmıştır.

Bu keşif, "Deneyimli tehdit aktörlerinin artık Python geliştiricilerini hedef aldığını ve PyPI gibi açık kaynaklı kayıt defterlerini güçlü veri hırsızlık araçları için bir dağıtım kanalı olarak kullandığını gösteriyor," diye belirtti Sharma.

Sahte Tarayıcı Güncelleme Kampanyaları Yüzlerce WordPress Sitesini Hedefliyor İlgili haberlerde, Sucuri, 300'den fazla WordPress sitesinin, ziyaretçileri bilgi çalıcılar ve uzaktan erişim trojanlarını dağıtan sahte MSIX yükleyicilerine yönlendiren kötü amaçlı Google Chrome güncelleme pop-up'ları ile tehlikeye atıldığını açıkladı.

Bu saldırı zincirleri, tehdit aktörlerinin WordPress yönetici arayüzüne yetkisiz erişim sağlaması ve sahte tarayıcı güncelleme pop-up'larını görüntülemek için Hustle - Email Marketing, Lead Generation, Optins, Popups adlı yasal bir WordPress eklentisini kullanarak kod yüklemesiyle gerçekleşir.

"Bu kampanya, hacker'ların kötü amaçlı amaçlar için yasal eklentileri kullanma eğiliminde artış olduğunu vurguluyor," dedi güvenlik araştırmacısı Puja Srivastava. "Bunu yaparak, çoğu eklenti verilerini WordPress veritabanında sakladığından dosya tarayıcılarından kaçabilirler."