macOS sahipleri dikkat! Verileriniz tehlikede olabilir

Python ekosisteminde geliştiricilerin sıklıkla kullandığı PyPI (Python Package Index) platformunda, son günlerde tespit edilen kötü amaçlı bir paket dikkat çekti. “chimera-sandbox-extensions” adıyla yayınlanan bu zararlı mekanizma; ilk bakışta yasal bir modül gibi görünse de, arka planda kurbanın sisteminden hassas verileri çalan karmaşık bir bilgi hırsızlığı saldırısını barındırıyor.

macOS sahiplerinin verileri tehlikede

JFrog güvenlik araştırmacısı Guy Korolevski tarafından paylaşılan rapora göre, paket bugüne kadar 143 kez indirildi. Saldırganlar, paketi Singapur merkezli teknoloji şirketi Grab’in geçtiğimiz yıl kullanıma sunduğu “Chimera Sandbox” hizmetinin bir eklentisi gibi tanıttı.

Grab’in bu hizmeti, makine öğrenimi çözümleri geliştirmek ve test etmek amacıyla açık kaynaklı bir ortam sunuyor. Zararlı yazılım ise tam olarak bu hizmeti kullanan geliştiricileri hedef alıyor. Paket sistemde yüklendikten sonra, domain generation algorithm (DGA) adı verilen bir yöntemle oluşturulmuş rastgele bir alan adına bağlanmaya çalışıyor.

Bu bağlantı üzerinden kimlik doğrulama için bir token alıyor ve ardından aynı alan adı üzerinden ikinci aşama bir yük indiriliyor. Bu ikinci aşama, Python tabanlı bir bilgi hırsızı yazılım içeriyor. Yazılımın topladığı bilgiler de oldukça kapsamlı.

Elde edilen bulgular, bu yazılımın yüksek derecede hedeflenmiş bir saldırı aracı olduğunu ve açık kaynak dünyasındaki geleneksel tehditlerden farklılaştığını ortaya koyuyor. Bu sistemin, açık kaynak ortamında tespit edilen daha önceki tehditlerden çok daha sofistike olduğunu vurgulandı.