Siber güvenlik şirketi ESET; resmi Python deposunun siber casusluk arka kapısına hizmet ettiğini ve 10 binden fazla indirme olduğunu tespit etti. Bir programlama lisanı olan Phyton web uygulamaları, yazılım geliştirme, makine tahsilinde geliştiriciler tarafından yaygın olarak kullanılıyor. Etkili, öğrenmesi kolay ve birçok farklı platformda çalıştırılabildiği için tercih ediliyor.
Siber güvenlik şirketi ESET; resmi Python deposunun siber casusluk arka kapısına hizmet ettiğini ve 10 binden fazla indirme olduğunu tespit etti. Bir programlama lisanı olan Phyton web uygulamaları, yazılım geliştirme, makine tahsilinde geliştiriciler tarafından yaygın olarak kullanılıyor. Etkili, öğrenmesi kolay ve birçok farklı platformda çalıştırılabildiği için tercih ediliyor.
ESET Research, resmi Python paket deposu olan PyPI aracılığıyla dağıtılan bir dizi makus maksatlı Python projesi keşfetti. Tehdit hem Windows hem de Linux sistemlerini gaye alıyor ve ekseriyetle siber casusluk yeteneklerine sahip özel bir arka kapı sunuyor. Uzaktan komut yürütmeye ve evrak sızdırmaya müsaade veriyor ve bazen ekran imajı alma özelliğini de içeriyor. Birtakım durumlarda son yük, ferdî bilgileri ve kimlik bilgilerini çalan berbat şöhretli W4SP Stealer’ın bir çeşidi veya kripto para çalmak için kolay bir pano monitörü veya her ikisi olabilir. ESET, 53 projede makûs gayeli yazılım içeren 116 evrak keşfetti. Geçtiğimiz yıl boyunca kurbanlar bu evrakları 10 binden fazla kez indirdi. Mayıs 2023’ten itibaren indirme sayısı günde 80 civarındaydı.
PyPI, kod paylaşımı ve indirme konusunda Python programcıları ortasında tanınan. Herkes depoya katkıda bulunabildiği için, bazen yasal, tanınan kod kitaplıkları üzere görünen makûs gayeli yazılımlar ortaya çıkabiliyor. Makus gayeli paketleri keşfeden ve analiz eden ESET araştırmacısı Marc-Étienne Léveillé şunları söyledi, “Bazı makûs gayeli paket isimleri öbür yasal paketlere benziyor, lakin potansiyel kurbanlar tarafından yüklenmelerinin ana yolunun yazım yanılgısı ile değil toplumsal mühendislik üzerinden gerçekleştiğine inanıyoruz.”
Bu araştırmanın yayımlandığı tarihte paketlerin birçok esasen PyPI tarafından kaldırılmıştı. ESET, kalanlarla ilgili harekete geçmek için PyPI ile irtibat kurdu ve şu anda bilinen tüm makûs gayeli paketler çevrimdışı hale getirildi.
ESET, bu kampanyanın gerisindeki operatörlerin makûs gayeli kodları Python paketlerine yerleştirmek için üç teknik kullandığını gözlemledi. Birinci teknik, paketin içine çarçabuk gizlenmiş kod içeren bir “test” modülü yerleştirmek. İkinci teknik, Python projelerinin kurulumuna yardımcı olmak için ekseriyetle pip üzere paket yöneticileri tarafından otomatik olarak çalıştırılan setup.py dokümanına PowerShell kodunu yerleştirmek. Üçüncü teknikte, operatörler yasal kodu pakete dahil etmek için hiçbir efor sarf etmezler, böylece sadece berbat emelli kod çarçabuk gizlenmiş bir biçimde bulunur.
Tipik olarak son yük, uzaktan komut yürütme, evrak sızdırma ve bazen ekran görüntüsü alma maharetine sahip özel bir arka kapıdır. Windows’ta arka kapı Python’da uygulanıyor. Linux’ta arka kapı Go programlama lisanında uygulanıyor. Birtakım durumlarda son yük, arka kapı yerine makus şöhretli W4SP Stealer’ın bir çeşidi veyahut kripto para çalmak için kolay bir pano monitörü veya her ikisi de kullanılabiliyor. Pano monitörü Bitcoin, Ethereum, Monero ve Litecoin kripto para ünitelerini hedefliyor.
Léveillé kelamlarını söyle sonlandırdı, “Python geliştiricileri indirdikleri kodu sistemlerine yüklemeden önce incelemeliler. PyPI’nin bu formda berbata kullanılmasının devam etmesini bekliyoruz ve rastgele bir kamu yazılım deposundan kod yüklenirken dikkatli olunmasını tavsiye ediyoruz.”
YORUMLAR