Arkadaşlar, siber güvenlik araştırmacıları yeni bir kötü amaçlı Python paketi keşfetti. Bu paket, popüler istekler kütüphanesinin bir dalı gibi görünüyordu ancak aslında arkasında gizlice kötü amaçlı bir Golang çerçevesi olan Sliver barındırıyordu. Paket, requests-darwin-lite olarak adlandırıldı ve PyPI’deki kayıt defterinden kaldırılmadan önce 417 kez indirildi.
Bu paket, setup.py dosyasında Base64 kodlu bir komutun çözülüp yürütülmesiyle sistemin Evrensel Benzersiz Tanımlayıcısını toplamak için yapılandırılmıştı. Eğer tanımlayıcı belirli bir değerle eşleşirse, enfeksiyon zinciri devam ederdi. Bu durumda, paket bir PNG dosyasından veri okumaya devam ederdi.
Kötü amaçlı paketin içindeki PNG dosyasının boyutu gerçek requests logosundan oldukça büyüktü. Ayrıca, içinde gizlenmiş olan Sliver C2 çerçevesi, kırmızı ekip operasyonları için tasarlanmış açık kaynaklı bir araçtı.
Bu gelişme, açık kaynaklı ekosistemlerin kötü amaçlı yazılım dağıtmak için bir araç olarak kullanılmaya devam ettiğinin bir göstergesi oldu. Bunun yanı sıra, açık kaynak koduna dayalı paket kayıtlarına sürekli olarak kötü amaçlı yazılım bulaştığı için sistemik bir sorunla karşı karşıyaydık.
Sonuç olarak, bu tür kötü amaçlı paketlerin varlığında dikkatli olmalı ve güvenlik önlemlerimizi sıkı tutmalıyız. Açık kaynaklı yazılımları indirirken dikkatli olmamız ve güvenilir kaynaklardan indirmemiz önemlidir. Her an tehlike olabilir, bu yüzden siber güvenliğimize dikkat etmekte fayda var.
