9 Temmuz 2023 tarihinde PyPI (Python Package Index) üzerine, VMware vSphere bağlantı modülü ‘vConnector’ı taklit eden zararlı bir paket olan ‘VMConnect’ adında bir paket yüklendi. Bu paket, bilgisayar uzmanlarını hedefleyen bir saldırıydı. VMware vSphere, bir sanallaştırma araçları paketi olup, vConnector, geliştiriciler ve sistem yöneticileri tarafından kullanılan bir Python modülüdür ve PyPI üzerinden aylık olarak yaklaşık 40.000 kez indirilmektedir.
Sonatype adlı bir araştırmacı ve BleepingComputer’ın muhabiri Ax Sharma’ya göre, 28 Temmuz 2023 tarihinde PyPI’ye yüklenen bu zararlı paket, 1 Ağustos 2023 tarihine kadar 237 kez indirildi ve daha sonra kaldırıldı.
Sonatype’in yaptığı inceleme, ‘VMConnect’ ile aynı kodu içeren iki paket daha ortaya çıkardı: ‘ethter’ ve ‘quantiumbase’. ‘ethter’ paketi, meşru ‘eth-tester’ paketini taklit ediyor ve aylık olarak 70.000’den fazla indiriliyor. ‘quantiumbase’ ise ‘databases’ paketinin bir klonudur ve aylık olarak 360.000 kez indiriliyor.
Tüm bu zararlı paketler, taklit ettikleri projelerin işlevselliğini içeriyordu, bu da kurbanları gerçek araçları çalıştırdıklarına inandırarak enfeksiyon süresini uzatabiliyordu.
Zararlı ‘VMConnect’ paketinin kodunda, kötü niyetli bir niyetin işareti, ‘init.py’ dosyasında bulunan ve ayrı bir işlemde kodu çalıştıran bir base-64 kodlanmış dize içeriyordu. Bu kod, her dakika saldırganların kontrol ettiği bir URL’den veri alıyor ve bunu enfekte makinede çalıştırıyordu.
Sonatype’in paket analizini yöneten Ankita Lamba, ikinci aşama yükünü o zamanlar dışarıdaki kaynaktan alamadı. Ancak genel olarak, enfekte bir makineden harici ve belirsiz bir URL’ye gizlice bağlanan bir paketin yüksek riskli bir işlem olduğu düşünülebilir, özellikleri tam olarak bilinmese bile.
Şüpheli paketlerin yazarına, PyPI ve GitHub üzerinde “hushki502” olarak kayıtlı olan kişiye şüpheci bir şekilde yaklaşılarak ulaşılmaya çalışıldı, ancak herhangi bir yanıt alınamadı.
ReversingLabs adlı başka bir güvenlik firması da aynı saldırı kampanyasını fark etti ve bununla ilgili bir rapor yayınladı. Ancak saldırganların kim olduğu, ikinci aşama yükü veya saldırının nihai hedefi hakkında yapılan inceleme de sonuçsuz kaldı.
Son dikkat notu olarak, sahte paketlerin PyPI’deki açıklamalarının gerçekçi ve doğru olduğu belirtiliyor. Hatta bu paketler için GitHub depoları bile açıldı ve isimleri meşru projeleri taklit edecek şekilde belirlendi. Bu nedenle, geliştiricilerin bu sahte paketleri fark edebilmeleri için paketlerin kısa geçmişine, düşük indirilme sayılarına, bazı dosyalarda gizlenmiş kodlara ve meşru projelerin isimlerine benzer ancak tam olarak eşleşmeyen paket isimlerine dikkat etmeleri önemlidir.
kaynak: BleepingComputer