Paket Dizini (PyPI) deposunda, VMConnect adlı devam eden kötü amaçlı yazılım tedarik zinciri kampanyasının bir parçası olarak, Kuzey Kore devlet destekli tehdit aktörlerinin katılımına işaret eden işaretlerle birlikte üç ek hileli Python paketi keşfedildi.
Bulgular, tablediter, request-plus ve requestspro paketlerini tespit eden ReversingLabs’tan geldi.
İlk olarak ay başında şirket ve Sonatype tarafından ifşa edilen VMConnect, bilinmeyen bir ikinci aşama kötü amaçlı yazılımı indirmek için popüler açık kaynaklı Python araçlarını taklit eden bir Python paketleri koleksiyonunu ifade eder.
ReversingLabs, kötü aktörlerin paketlerini gizlediklerini ve prettytable ve istekleri taklit etmek ve geliştiricilerin kafasını karıştırmak için typosquatting tekniklerini kullanarak güvenilir görünmelerini sağladıklarını belirterek, en son dilimin de farklı olmadığını belirtti.
Tablediter içindeki hain kod, Base64 kodlu bir yükü almak ve çalıştırmak için uzak bir sunucunun periyodik olarak sorgulandığı sonsuz bir yürütme döngüsünde çalışmak üzere tasarlanmıştır. Yükün tam niteliği şu anda bilinmemektedir.
Tablediter’da yapılan ana değişikliklerden biri, güvenlik yazılımları tarafından tespit edilmekten kaçınmak için paketin yüklenmesinin hemen ardından kötü amaçlı kodu artık tetiklememesidir.
Güvenlik araştırmacısı Karlo Zanki, “Belirlenen paketin içe aktarılmasını ve işlevlerinin ele geçirilen uygulama tarafından çağrılmasını bekleyerek, yaygın, davranış temelli bir tespit biçiminden kaçınıyorlar ve savunmacılar için çıtayı yükseltiyorlar” dedi.
Diğer iki paket, request-plus ve requestspro, virüs bulaşmış makine hakkında bilgi toplama ve bunları bir komuta ve kontrol (C2) sunucusuna iletme yeteneğine sahiptir.
Bu adımın ardından sunucu, virüslü ana bilgisayarın aynı C2 sunucusundaki farklı bir URL’ye geri gönderdiği bir belirteçle yanıt veriyor ve sonuçta karşılığında çift kodlu bir Python modülü ve bir indirme URL’si alıyor.
Şifresi çözülen modülün, sağlanan URL’den kötü amaçlı yazılımın bir sonraki aşamasını indirdiğinden şüpheleniliyor.
Kuzey Kore’ye Uzanan Karmaşık Bir Bağlantı Ağı
Radarın altından geçmek için token tabanlı bir yaklaşımın kullanılması, Phylum’un Haziran ayında ifşa ettiği ve o zamandan beri Kuzey Koreli aktörlerle ilişkilendirilen bir npm kampanyasını yansıtıyor. Microsoft’un sahibi olduğu GitHub, saldırıları Jade Sleet adını verdiği ve TraderTraitor ya da UNC4899 olarak da bilinen bir tehdit aktörüne atfetti.
TraderTraitor, Kuzey Kore’nin kâr amaçlı hack planlarında öne çıkan siber silahlarından biridir ve finansal kazanç için kripto para şirketlerini ve diğer sektörleri hedef alma konusunda uzun ve başarılı bir geçmişe sahiptir.
Potansiyel bağlantılar, bunun düşmanların belirli filtreleme kriterlerine dayalı olarak seçici bir şekilde ikinci aşama kötü amaçlı yazılım sunmak için benimsedikleri ortak bir taktik olma olasılığını artırmaktadır.
Kuzey Kore ile olan bağlantılar, npm mühendislik kampanyası ile Haziran 2023 JumpCloud saldırısı arasında altyapı örtüşmelerinin keşfedilmiş olmasıyla da desteklenmektedir.
Dahası, ReversingLabs, VMConnect paketinde bulunana çok benzeyen kötü amaçlı işlevler içeren py_QRcode adlı bir Python paketi bulduğunu söyledi.
py_QRcode’un, Mayıs 2023’ün sonlarında kripto para borsası işletmelerinin geliştiricilerini hedef alan ayrı bir saldırı zincirinin başlangıç noktası olarak kullanıldığı söyleniyor. JPCERT/CC, geçen ay, bunu SnatchCrypto (diğer adıyla CryptoMimic veya DangerousPassword) kod adlı başka bir Kuzey Kore faaliyetine bağladı.
“Bu Python kötü amaçlı yazılımı Windows, macOS ve Linux ortamlarında çalışır ve işletim sistemi bilgilerini kontrol eder ve buna bağlı olarak enfeksiyon akışını değiştirir” diyen ajans, aktörü çeşitli platformlarla geliştirici ortamını hedeflediği için benzersiz olarak tanımladı.
Dikkat çeken bir diğer husus da macOS sistemlerine yönelik saldırıların, ilk kez Haziran 2023’te ortaya çıkan yeni bir arka kapı olan JokerSpy’ın konuşlandırılmasıyla sonuçlanmasıdır.
Hepsi bu kadar değil. Haziran 2023’te, siber güvenlik firması SentinelOne, py_QRcode ile aynı işlevselliğe sahip olan ve JokerSpy bulaşmasıyla bağlantılı olarak görülen www.git-hub[.]me alan adını referans alan QRLog adlı başka bir kötü amaçlı yazılım parçasını ayrıntılı olarak açıkladı.
Güvenlik araştırmacısı Phil Stokes, “JokerSpy izinsiz girişleri, Python, Java ve Swift gibi birkaç farklı dilde işlevsel kötü amaçlı yazılım yazma ve birden fazla işletim sistemi platformunu hedefleme yeteneğine sahip bir tehdit aktörünü ortaya koyuyor” dedi.
QRLog kötü amaçlı yazılımını ilk tespit eden siber güvenlik araştırmacısı Mauro Eldritch, bubi tuzaklı QR kod oluşturucu uygulamasının, kötü şöhretli Lazarus Group’un bir alt kümesi olan Labyrinth Chollima olarak bilinen bir düşmanın işi olduğunu gösteren kanıtlar olduğunu söyledi.
Zanki, “Bu, PyPI havuzunun kullanıcılarını hedef alan kötü niyetli saldırılardan sadece bir diğeri” dedi ve ekledi “tehdit aktörleri Python Paket Dizini (PyPI) havuzunu kötü amaçlı yazılımları için bir dağıtım noktası olarak kullanmaya devam ediyor.”
