Python bileşenleri için resmi depo olan Python Paket Dizini (PyPI) içerisinde bulunan 8 Python kitaplığı kullanıcıların kredi kartı numaralarını, Discord jetonlarini çalmayı ve saldırganlara kod yürütme yetenekleri vermeyi amaçladığı için PyPI portalından kaldırıldı. Araştırmacıların raporuna göre, bu kötü amaçlı paketler üç farklı PyPI hesabı altında yayınlanmi; ve PyPI portalından kaldırılmadan önce 30 binden fazla indirildiği belirtiliyor.
JFrog’daki güvenlik araştırmacıları Andrey Polkovnichenko, Omer Kaspi ve Shachar Menashe, PyPI kayıtlarında yakaladıkları birkaç kötü amaçlı Python paketini analiz ettiler. Karmaşıklaştırma olarak Base64 kodlaması kullandığı anlaşılan söz konusu Python paketleri aşağıda listelenmiştir:
1- pytagora – leonora123 adlı kullanıcı tarafından yüklendi
2- pytagora2 – leonora123 adlı kullanıcı tarafından yüklendi
3- noblesse – xin1111 adlı kullanıcı tarafından yüklendi
4- genesisbot – xin1111 adlı kullanıcı tarafından yüklendi
5- are – xin1111 adlı kullanıcı tarafından yüklendi
6- suffer – suffer adlı kullanıcı tarafından yüklendi
7- noblesse2 – uploaded by suffer
8- noblessev2 – uploaded by suffer
Paketlerin çoğunun Chrome ve Edge tarayıcılarında otomatik olarak kaydedilen kredi kartı numaralarını ve şifrelerini çaldığı, sistem bilgilerini topladığı, bazı eklentilerin saldırganlara hedef makinede kod yürütme yetenekleri sağladığı, hatta kurbanın kimliğine bürünmek için Discord kimlik doğrulama jetonlarını çalabildiği belirtiliyor.
Temmuz ayında ReversingLabs tarafından yayınlanan bir raporda, Linux sistemlerini hedef alan gizli bir arka kapı içeren kötü amaçlı PyPI paketleri tespit edildiği açıklanmıştı. Daha sonra ise bu paketler kaldırılmıştı. Yine Temmuz ayında SonaType tarafından yayınlanan bir raporda, yazılım geliştiricilerinin cihazlarını kripto para madenciliğine çeviren zararlı PyPI depoları tespit edilmişti.
