Administratorer af Python Package Index (PyPI) har fjernet 10 ondsindede softwarekodepakker fra registreringsdatabasen, efter at en sikkerhedsleverandør informerede dem om problemet.
Hændelsen er den seneste i en hastigt voksende liste over nylige tilfælde, hvor trusselsaktører har placeret useriøs software på udbredte softwarelagre såsom PyPI, Node Package Manager (npm) og Maven Central, med det formål at kompromittere flere organisationer. Sikkerhedsanalytikere har beskrevet tendensen som væsentligt øger behovet for udviklingsteams til at udvise rettidig omhu, når de downloader tredjeparts- og åben kildekode fra offentlige registre.
Forskere ved Check Points Spectralops.io afslørede dette seneste sæt af ondsindede pakker på PyPI og fandt ud af, at de var droppere for informationstjælende malware. Pakkerne blev designet til at ligne legitim kode - og i nogle tilfælde efterlignede andre populære pakker på PyPI.
Ondsindet kode i installationsscripts
Check Point-forskere opdagede, at trusselsaktørerne, der havde placeret malwaren i registreringsdatabasen, havde indlejret ondsindet kode i pakkeinstallationsscript. Så når en udvikler brugte "pip"-installationskommandoen til at installere en af de slyngede pakker, ville den ondsindede kode køre ubemærket på brugerens maskine og installere malware-dropperen.
For eksempel indeholdt en af de falske pakker, kaldet "Ascii2text", ondsindet kode i en fil (_init_.py) importeret af installationsscriptet (setup.py). Når en udvikler forsøgte at installere pakken, ville koden downloade og udføre et script, der søgte efter lokale adgangskoder, som den derefter uploadede til en Discord-server. Den ondsindede pakke blev designet til at ligne en populær kunstpakke med samme navn og beskrivelse, ifølge Check Point.
Tre af de 10 useriøse pakker (Pyg-utils, Pymocks og PyProto2) ser ud til at være udviklet af den samme trusselsaktør, som for nylig implementerede malware til stjæle AWS-legitimationsoplysninger på PyPI. Under installationen af setup.py koblede Py-Utils for eksempel til det samme ondsindede domæne som det, der blev brugt i AWS-kampagnen for stjæle af legitimationsoplysninger. Selvom Pymocks og PyProto2 var forbundet til et andet ondsindet domæne under installationsprocessen, var deres kode næsten identisk med Pyg-utils, hvilket fik Check Point til at tro, at den samme forfatter havde oprettet alle tre pakker.
De andre pakker inkluderer en sandsynligvis malware-downloader kaldet Test-async, der foregav at være en pakke til test af kode; en kaldet WINRPCexploit til at stjæle brugeroplysninger under installationen af setup.py; og to pakker (Free-net-vpn og Free-net-vpn2) til at stjæle miljøvariabler.
"Det er vigtigt, at udviklere holder deres handlinger sikre og dobbelttjekker alle softwareingredienser, der er i brug, og især sådanne, der bliver downloadet fra forskellige depoter," advarer Check Point.
Sikkerhedsleverandøren svarede ikke med det samme, da han blev spurgt, hvor længe de ondsindede pakker kunne have været tilgængelige i PyPI-registret, eller hvor mange personer, der måtte have downloadet dem.
Voksende forsyningskædeeksponering
Hændelsen er den seneste til at fremhæve de voksende farer ved at downloade tredjepartskode fra offentlige arkiver uden ordentlig kontrol.
I sidste uge rapporterede Sonatype opdagelse tre pakker, der indeholder ransomware som en hacker i skolealderen i Italien havde uploadet til PyPI som en del af et eksperiment. Mere end 250 brugere downloadede en af pakkerne, hvoraf 11 endte med at have filer krypteret på deres computer. I det tilfælde var ofrene i stand til at få dekrypteringsnøglen uden at skulle betale en løsesum, fordi hackeren tilsyneladende havde uploadet malwaren uden ondsindet hensigt.
Der har dog været adskillige andre tilfælde, hvor angribere har brugt offentlige kodedepoter som affyringsramper for distribution af malware.
Tidligere i år opdagede Sonatype også en ondsindet pakke til at downloade Cobalt Strike attack kit på PyPI. Om 300 udviklere downloadede malwaren før den blev fjernet. I juli opdagede forskere fra Kaspersky fire stærkt slørede informationstyve lurer på det meget brugte npm-lager til Java-programmører.
Angribere er i stigende grad begyndt at målrette mod disse registre på grund af deres brede rækkevidde. PyPI, for eksempel, er forbi 613,000 brugere og kode fra siden er i øjeblikket indlejret i mere end 391,000 projekter verden over. Organisationer af alle størrelser og typer - inklusive Fortune 500-virksomheder, softwareudgivere og offentlige myndigheder - bruger kode fra offentlige lagre til at bygge deres egen software.
