Python ekosisteminde geliştiricilerin sıklıkla kullandığı PyPI (Python Package Index) platformunda, son günlerde tespit edilen makus gayeli bir paket dikkat çekti. “chimera-sandbox-extensions” ismiyle yayınlanan bu ziyanlı düzenek; birinci bakışta yasal bir modül üzere görünse de, art planda kurbanın sisteminden hassas bilgileri çalan karmaşık bir bilgi hırsızlığı saldırısını barındırıyor.
macOS sahiplerinin bilgileri tehlikede
JFrog güvenlik araştırmacısı Guy Korolevski tarafından paylaşılan rapora nazaran, paket bugüne kadar 143 sefer indirildi. Saldırganlar, paketi Singapur merkezli teknoloji şirketi Grab’in geçtiğimiz yıl kullanıma sunduğu “Chimera Sandbox” hizmetinin bir eklentisi üzere tanıttı.
Grab’in bu hizmeti, makine tahsili tahlilleri geliştirmek ve test etmek emeliyle açık kaynaklı bir ortam sunuyor. Ziyanlı yazılım ise tam olarak bu hizmeti kullanan geliştiricileri amaç alıyor. Paket sistemde yüklendikten sonra, domain generation algorithm (DGA) ismi verilen bir usulle oluşturulmuş rastgele bir alan ismine bağlanmaya çalışıyor.
Bu ilişki üzerinden kimlik doğrulama için bir token alıyor ve akabinde tıpkı alan ismi üzerinden ikinci evre bir yük indiriliyor. Bu ikinci basamak, Python tabanlı bir bilgi hırsızı yazılım içeriyor. Yazılımın topladığı bilgiler de epeyce kapsamlı.
Elde edilen bulgular, bu yazılımın yüksek derecede hedeflenmiş bir hücum aracı olduğunu ve açık kaynak dünyasındaki klasik tehditlerden farklılaştığını ortaya koyuyor. Bu sistemin, açık kaynak ortamında tespit edilen daha evvelki tehditlerden çok daha sofistike olduğunu vurgulandı.
