PyPI Paketleri Gmail ve WebSockets ile Ele Geçiriyor

Son yıllarda, PyPI üzerinde yer alan zararlı paketler, Gmail ve WebSockets kullanarak sistemlere sızmakta ve kritik verilere erişim sağlamaktadır. Bu yazıda, Socket araştırma ekibinin keşfettiği zararlı paketlerin işleyişine ve potansiyel tehditlerine odaklanacağız.

PyPI Paketleri Gmail ve WebSockets ile Ele Geçiriyor

Zararlı PyPI Paketleri Gmail ve WebSockets Kullanarak Sistemleri Ele Geçiriyor

Yedi zararlı PyPI paketi, Gmail'in SMTP sunucularını ve WebSockets'i kullanarak veri sızdırma ve uzak komut çalıştırma amacıyla sistemleri ele geçiriyordu. Bu paketler, Socket'in tehdit araştırma ekibi tarafından keşfedildi ve bulgular PyPI'ye raporlandı, bunun sonucunda paketler kaldırıldı.

Ancak bu paketlerin bazıları PyPI üzerinde dört yıldan fazla bir süre boyunca yer aldı ve üçüncü taraf indirme sayacı verilerine göre, birisi 18.000'den fazla kez indirildi.

İşte Socket tarafından paylaşılan tam liste:

• Coffin-Codes-Pro (9.000 indirme)
• Coffin-Codes-NET2 (6.200 indirme)
• Coffin-Codes-NET (6.100 indirme)
• Coffin-Codes-2022 (18.100 indirme)
• Coffin2022 (6.500 indirme)
• Coffin-Grave (6.500 indirme)
• cfc-bsb (2.900 indirme)

‘Coffin’ paketlerinin, Jinja2 şablonlarını Django projelerine entegre etmek için kullanılan meşru Coffin paketini taklit ettiği görülüyor. Socket'in bu paketlerde keşfettiği zararlı işlevler, Gmail üzerinden gizli uzak erişim ve veri sızdırma odaklıydı.

Bu paketler, Gmail’in SMTP sunucusuna (smtp.gmail.com) giriş yapmak için sabitlenmiş Gmail kimlik bilgilerini kullanarak, saldırganın ele geçirilen sisteme uzaktan erişmesine olanak sağlamak için keşif bilgileri gönderiyordu. Gmail, güvenilir bir hizmet olduğundan, güvenlik duvarları ve EDR sistemlerinin bu etkinliği şüpheli olarak işaretlemesi pek olası değildi.

E-posta sinyal aşamasının ardından, implant bir WebSocket üzerinden SSL kullanarak uzaktaki bir sunucuya bağlanıyor ve sürekli, şifreli, iki yönlü bir tünel kurmak için tünel yapılandırma talimatlarını alıyordu. 'Client' sınıfı kullanılarak, kötü amaçlı yazılım, uzaktaki ana bilgisayarın trafiğini yerel sisteme yönlendiriyor ve bu da iç yönetici paneli ve API erişimi, dosya transferi, e-posta sızdırma, komut çalıştırma, kimlik bilgisi toplama ve yatay hareket sağlıyordu.

Socket, bu paketlerin potansiyel olarak kripto para hırsızlığı amacı güttüğüne dair güçlü göstergeler olduğunu vurguluyor. Bu, kullanılan e-posta adreslerinden (örneğin, [email protected]) ve geçmişte Solana özel anahtarlarını çalmak için kullanılan benzer taktiklerden görülüyor.

Eğer bu paketleri ortamınıza kurduysanız, hemen kaldırın ve anahtarlar ile kimlik bilgilerini değiştirdiğinizden emin olun.

Uzmanlar  tarafından yayımlanan bir başka rapor ise 'crypto-encrypt-ts' adlı kripto çalan bir paketi konu alıyor. Bu paket, popüler ancak artık güncellenmeyen 'CryptoJS' kütüphanesinin TypeScript versiyonu olarak gizleniyor ve kripto para cüzdanı sırlarını ve çevre değişkenlerini, tehdit aktörü tarafından kontrol edilen Better Stack uç noktasına sızdırıyor.

Zararlı paket, enfekte olmuş sistemlerde cron görevleriyle kalıcı hale geliyor ve yalnızca 1.000 birimden fazla bakiyesi olan cüzdanları hedef alarak özel anahtarlarını çalmaya çalışıyor. Paket, 2.000'den fazla kez indirildikten sonra raporlanıp npm'den kaldırıldı.