PyPI Paketindeki Zafiyet Windows, Linux ve Mac Sistemlerini Etkiliyor

PyPI kayıt defterinde, saldırganların Windows, Linux ve macOS sistemlerinde Cobalt Strike beacons ve backdoorları açmak için kullanılan bir zafiyet tespit edildi. Zafiyetin hedefinin tedarik zinciri olduğu belirtildi.

17 Mayıs 2022’de saldırganlar PyPI’ye ‘pymafka’ adlı kötü amaçlı bir paket yükledi. Paket dört milyondan fazla kişi tarafından indirildi, ‘pymafka bir Apache Kafka istemcisi olan PyKafka’ya çok benziyor. Zararlı paket kaldırılmadan önce 325 indirme sayısına ulaştı. Sonatype, pymafka’yı keşfetti ve PyPI’ye bildirdi. Paketi indiren geliştiricilerin onu hemen değiştirmeleri ve sistemlerini Cobalt Strike beacon’ları ve Linux backdoorları için kontrol etmelerini istedi.

PyMafka enfeksiyon süreci

Bu komut dosyası, ana bilgisayar işletim sistemini algılıyor ve Windows, Linux veya Darwin (macOS) olmasına bağlı olarak sisteme uyumlu kötü amaçlı payload yüklüyor.

Linux sistemleri için, Python betiği 39.107.154.72 adresindeki bir URL’ye bağlanıyor ve çıktıyı bash kabuğuna yönlendiriyor. Bunun sistem üzerinde reverseshell açtığı düşünülüyor. Sonatype’ın raporu, Windows sistemlerinde ise Python betiğinin Cobalt Strike’ı ‘C:\Users\Public\iexplorer.exe’ konumuna düşürmeye çalıştığını belirtiliyor. Sağlıklı bir Microsoft Internet Explorer “iexplore.exe” (sonda ‘r’ yok) olarak adlandırıldığından ve C:\Users\Public dizininde bulunmadığından bu yazım hatası göze çarpıyor. İndirilen yürütülebilir dosyalar, hedefledikleri işletim sistemiyle, yani ‘win.exe’ ve ‘macOS’ ile eşleşiyor ve başlatıldıktan sonra Çin IP adresiyle iletişim kurmaya çalışıyor.

Yazılım geliştiriciler, paket adlarını ve ayrıntılarını incelemeli ve tuhaf bir şey göründüğünde seçimlerini iki kez kontrol etmelidir.

Kaynak: bleepingcomputer.com