PyPI Üzerinden Bilgi Hırsızlığı: Çinli Yazılım Gibi Tanıtıldı, Casus Çıktı

Python programlama diline ait yazılımların merkezi paket arşivi olan PyPI (Python Package Index), bu kez ciddi bir siber güvenlik tehdidiyle gündeme geldi. “chimera-sandbox-extensions” adıyla yayımlanan bir yazılım paketinin, aslında masum bir eklenti gibi görünüp kullanıcıların bilgilerini hedef alan sofistike bir casus yazılım olduğu belirlendi.

JFrog güvenlik araştırmacısı Guy Korolevski tarafından hazırlanan rapora göre, söz konusu zararlı yazılım, Singapur merkezli teknoloji şirketi Grab’in 2023 yılında tanıttığı Chimera Sandbox adlı açık kaynak hizmetinin bir eklentisi gibi lanse edildi. Ancak paketin asıl amacı, bu hizmeti kullanan macOS geliştiricilerini hedef alarak kişisel verileri ele geçirmek.

Şu ana kadar 143 kez indirildiği bildirilen zararlı yazılım, ilk yüklenme anında sistemde sessizce çalışmaya başlıyor. Paket, rastgele oluşturulmuş alan adları aracılığıyla saldırganın kontrolündeki sunuculara bağlanıyor ve sisteme sızmak için domain generation algorithm (DGA) yöntemi kullanıyor.

Yapılan incelemelerde, paketin ilk aşamada bir kimlik doğrulama token'ı alarak sistemle iletişim kurduğu, sonrasında ise ikinci aşamada indirilen Python tabanlı bilgi hırsızı yazılımla kullanıcı verilerini toplamaya başladığı tespit edildi. Yazılımın hedefinde sistem bilgileri, çevresel değişkenler, kullanıcı kimlikleri ve potansiyel olarak oturum anahtarları gibi hassas veriler yer alıyor.

Korolevski’nin raporunda, bu saldırının yüksek hedefleme düzeyine sahip ve önceki açık kaynak tehditlerinden farklı olarak daha gelişmiş ve sinsi yöntemlerle çalıştığı vurgulanıyor. Özellikle güvenilir kaynaklardan geldiği sanılan açık kaynak paketlerine yönelik güvenin sarsıldığı bir ortamda, bu tür yazılımlar, ekosistemin korunması için daha etkili filtreleme ve denetim mekanizmalarının geliştirilmesini zorunlu kılıyor.

Uzmanlar, macOS kullanıcılarına ve geliştiricilere özellikle PyPI’den paket indirirken dikkatli olmaları, bilinmeyen ya da yeni yayımlanmış eklentilerin kodlarını incelemeleri konusunda uyarılarda bulunuyor. Ayrıca, sistemlerinde bu paketin yüklü olup olmadığını kontrol etmeleri ve tespit edilmesi durumunda derhal silinmesi gerektiği hatırlatılıyor.