Angribere fortsætter med at skabe falske Python-pakker og bruge rudimentære sløringsteknikker i et forsøg på at inficere udviklernes systemer med W4SP Stealer, en trojaner, der er designet til at stjæle kryptovalutaoplysninger, eksfiltrere følsomme data og indsamle legitimationsoplysninger fra udviklerens systemer.
Ifølge en rådgivning offentliggjort i denne uge af softwareforsyningskædefirmaet Phylum, har en trusselaktør skabt 29 kloner af populære softwarepakker på Python Package Index (PyPI), hvilket giver dem godartede navne eller målrettet giver dem navne, der ligner legitime pakker, en praksis kendt som typosquatting. Hvis en udvikler downloader og indlæser de ondsindede pakker, installerer opsætningsscriptet også - gennem en række slørede trin - W4SP Stealer Trojan. Pakkerne har tegnet sig for 5,700 downloads, sagde forskere.
Mens W4SP Stealer er rettet mod cryptocurrency-punge og finansielle konti, ser det vigtigste formål med de nuværende kampagner ud til at være udviklerhemmeligheder, siger Louis Lang, medstifter og CTO hos Phylum.
"Det er ikke ulig de e-mail-phishing-kampagner, vi er vant til at se, kun denne gang er angriberne udelukkende rettet mod udviklere," siger han. "I betragtning af at udviklere ofte har adgang til kronjuvelerne, kan et vellykket angreb være ødelæggende for en organisation."
Angrebene på PyPI fra den ukendte aktør eller gruppe er blot de seneste trusler mod softwareforsyningskæden. Open source-softwarekomponenter distribueret gennem lagertjenester, såsom PyPI og Node Package Manager (npm), er en populær vektor for angreb, som antallet af afhængigheder importeret til software er vokset dramatisk. Angribere forsøger at bruge økosystemerne til at distribuere malware til uforsigtige udvikleres systemer, som det skete i et 2020-angreb på Ruby Gems-økosystemet og angriber Docker Hub-billedøkosystemet. Og i august sikkerhedsforskere hos Check Point Software Technologies fundet 10 PyPI-pakker der droppede informationstjælende malware.
I denne seneste kampagne, "er disse pakker et mere sofistikeret forsøg på at levere W4SP Stealer til Python-udviklerens maskiner," Phylum-forskere anført i deres analyse, og tilføjer: "Da dette er et igangværende angreb med konstant skiftende taktik fra en beslutsom angriber, formoder vi at se mere malware som denne dukke op i den nærmeste fremtid."
PyPI Attack er et "talspil"
Dette angreb drager fordel af udviklere, der fejlagtigt indtaster navnet på en almindelig pakke eller bruger en ny pakke uden at kontrollere kilden til softwaren tilstrækkeligt. En ondsindet pakke, kaldet "typesutil," er blot en kopi af den populære Python-pakke "datetime2," med nogle få ændringer.
Til at begynde med ville ethvert program, der importerede den ondsindede software, køre en kommando til at downloade malware under opsætningsfasen, når Python indlæser afhængigheder. Men fordi PyPI implementerede visse kontroller, begyndte angriberne at bruge mellemrum til at skubbe de mistænkelige kommandoer uden for det normale visningsområde for de fleste kodeeditorer.
"Angriberen ændrede taktik en smule, og i stedet for bare at dumpe importen på et åbenlyst sted, blev den placeret waaaaay uden for skærmen, og udnyttede Pythons sjældent brugte semikolon til at snige den ondsindede kode ind på samme linje som anden legitim kode," sagde Phylum i sin analyse.
Mens typosquatting er et low-fidelity-angreb med kun sjældne succeser, koster indsatsen angriberne lidt sammenlignet med den potentielle belønning, siger Phylum's Lang.
"Det er et talspil med angribere, der forurener pakke-økosystemet med disse ondsindede pakker på daglig basis," siger han. "Den uheldige virkelighed er, at omkostningerne ved at implementere en af disse ondsindede pakker er ekstremt lave i forhold til den potentielle belønning."
En W4SP der svier
Det endelige mål med angrebet er at installere den "informationstjælende trojanske W4SP Stealer, som opregner ofrets system, stjæler browser-lagrede adgangskoder, målretter cryptocurrency-punge og søger efter interessante filer ved hjælp af nøgleord, såsom 'bank' og 'hemmelighed'. ," siger Lang.
"Udover de åbenlyse pengebelønninger ved at stjæle kryptovaluta eller bankoplysninger, kan nogle af de stjålne oplysninger bruges af angriberen til at fremme deres angreb ved at give adgang til kritisk infrastruktur eller yderligere udviklerlegitimationsoplysninger," siger han.
Phylum har gjort nogle fremskridt med at identificere angriberen og har sendt rapporter til de virksomheder, hvis infrastruktur bliver brugt.
