Οι εισβολείς συνεχίζουν να δημιουργούν ψεύτικα πακέτα Python και να χρησιμοποιούν στοιχειώδεις τεχνικές συσκότισης σε μια προσπάθεια να μολύνουν τα συστήματα των προγραμματιστών με το W4SP Stealer, έναν Trojan που έχει σχεδιαστεί για να κλέβει πληροφορίες κρυπτονομισμάτων, να διεισδύει ευαίσθητα δεδομένα και να συλλέγει διαπιστευτήρια από συστήματα προγραμματιστών.
Σύμφωνα με μια συμβουλευτική που δημοσιεύθηκε αυτή την εβδομάδα από την εταιρεία εφοδιαστικής αλυσίδας λογισμικού Phylum, ένας παράγοντας απειλών δημιούργησε 29 κλώνους δημοφιλών πακέτων λογισμικού στο Python Package Index (PyPI), δίνοντάς τους καλοήθη ονόματα ή δίνοντάς τους σκόπιμα ονόματα παρόμοια με νόμιμα πακέτα. πρακτική γνωστή ως typosquatting. Εάν ένας προγραμματιστής κατεβάσει και φορτώσει τα κακόβουλα πακέτα, το σενάριο εγκατάστασης εγκαθιστά επίσης — μέσω μιας σειράς συγκεχυμένων βημάτων — το W4SP Stealer Trojan. Τα πακέτα αντιστοιχούν σε 5,700 λήψεις, είπαν οι ερευνητές.
Ενώ το W4SP Stealer στοχεύει πορτοφόλια κρυπτονομισμάτων και οικονομικούς λογαριασμούς, ο πιο σημαντικός στόχος των τρεχουσών καμπανιών φαίνεται να είναι τα μυστικά των προγραμματιστών, λέει ο Louis Lang, συνιδρυτής και CTO της Phylum.
«Δεν είναι διαφορετικό από τις καμπάνιες ηλεκτρονικού ψαρέματος που έχουμε συνηθίσει να βλέπουμε, μόνο που αυτή τη φορά οι εισβολείς στοχεύουν αποκλειστικά τους προγραμματιστές», λέει. "Λαμβάνοντας υπόψη ότι οι προγραμματιστές έχουν συχνά πρόσβαση στα κοσμήματα του στέμματος, μια επιτυχημένη επίθεση μπορεί να είναι καταστροφική για έναν οργανισμό."
Οι επιθέσεις στο PyPI από τον άγνωστο παράγοντα ή ομάδα, είναι απλώς οι πιο πρόσφατες απειλές που στοχεύουν την αλυσίδα εφοδιασμού λογισμικού. Τα στοιχεία λογισμικού ανοιχτού κώδικα που διανέμονται μέσω υπηρεσιών αποθετηρίου, όπως το PyPI και το Node Package Manager (npm), είναι ένας δημοφιλής φορέας επιθέσεων, όπως ο αριθμός των εξαρτήσεων που εισάγονται στο λογισμικό έχει αυξηθεί δραματικά. Οι εισβολείς προσπαθούν να χρησιμοποιήσουν τα οικοσυστήματα για να διανείμουν κακόβουλο λογισμικό σε συστήματα απρόσεκτων προγραμματιστών, όπως συνέβη στο επίθεση του 2020 στο οικοσύστημα Ruby Gems και επιθέσεις σε το οικοσύστημα εικόνας Docker Hub. Και τον Αύγουστο, ερευνητές ασφαλείας στην Check Point Software Technologies βρέθηκαν 10 πακέτα PyPI που έριξε κακόβουλο λογισμικό κλοπής πληροφοριών.
Σε αυτήν την τελευταία καμπάνια, "αυτά τα πακέτα είναι μια πιο εξελιγμένη προσπάθεια παράδοσης του W4SP Stealer σε μηχανές προγραμματιστών Python", ερευνητές του Phylum αναφέρουν στην ανάλυσή τους, προσθέτοντας: «Καθώς πρόκειται για μια συνεχιζόμενη επίθεση με συνεχώς μεταβαλλόμενες τακτικές από έναν αποφασισμένο εισβολέα, υποπτευόμαστε ότι θα δούμε περισσότερα κακόβουλα προγράμματα όπως αυτό να εμφανίζονται στο εγγύς μέλλον».
Η επίθεση PyPI είναι ένα "παιχνίδι αριθμών"
Αυτή η επίθεση εκμεταλλεύεται τους προγραμματιστές που κατά λάθος πληκτρολογούν το όνομα ενός κοινού πακέτου ή χρησιμοποιούν ένα νέο πακέτο χωρίς να ελέγχουν επαρκώς την πηγή του λογισμικού. Ένα κακόβουλο πακέτο, που ονομάζεται "typesutil", είναι απλώς ένα αντίγραφο του δημοφιλούς πακέτου Python "datetime2", με μερικές τροποποιήσεις.
Αρχικά, κάθε πρόγραμμα που εισήγαγε το κακόβουλο λογισμικό θα εκτελούσε μια εντολή λήψης κακόβουλου λογισμικού κατά τη φάση εγκατάστασης, όταν η Python φορτώνει εξαρτήσεις. Ωστόσο, επειδή το PyPI εφάρμοσε ορισμένους ελέγχους, οι εισβολείς άρχισαν να χρησιμοποιούν κενό διάστημα για να σπρώξουν τις ύποπτες εντολές έξω από το κανονικό εύρος προβολής των περισσότερων προγραμμάτων επεξεργασίας κώδικα.
«Ο εισβολέας άλλαξε ελαφρώς την τακτική και αντί να απορρίψει απλώς την εισαγωγή σε ένα προφανές σημείο, τοποθετήθηκε εκτός οθόνης, εκμεταλλευόμενος το σπάνια χρησιμοποιούμενο ερωτηματικό της Python για να γλιστρήσει τον κακόβουλο κώδικα στην ίδια γραμμή με τον άλλο νόμιμο κώδικα», δήλωσε ο Phylum. στην ανάλυσή του.
Ενώ το typosquatting είναι μια επίθεση χαμηλής πιστότητας με σπάνιες μόνο επιτυχίες, η προσπάθεια κοστίζει λίγο στους εισβολείς σε σύγκριση με την πιθανή ανταμοιβή, λέει ο Phylum's Lang.
«Είναι ένα παιχνίδι αριθμών με επιτιθέμενους να μολύνουν το οικοσύστημα πακέτων με αυτά τα κακόβουλα πακέτα σε καθημερινή βάση», λέει. "Η ατυχής πραγματικότητα είναι ότι το κόστος για την ανάπτυξη ενός από αυτά τα κακόβουλα πακέτα είναι εξαιρετικά χαμηλό σε σχέση με την πιθανή ανταμοιβή."
Ένα W4SP που τσιμπάει
Ο τελικός στόχος της επίθεσης είναι να εγκαταστήσει το «Trojan W4SP Stealer που κλέβει πληροφορίες, το οποίο απαριθμεί το σύστημα του θύματος, κλέβει κωδικούς πρόσβασης που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης, στοχεύει πορτοφόλια κρυπτονομισμάτων και αναζητά ενδιαφέροντα αρχεία χρησιμοποιώντας λέξεις-κλειδιά, όπως «τράπεζα» και «μυστικό». », λέει ο Λανγκ.
«Εκτός από τις προφανείς χρηματικές ανταμοιβές της κλοπής κρυπτονομισμάτων ή τραπεζικών πληροφοριών, ορισμένες από τις κλοπές θα μπορούσαν να χρησιμοποιηθούν από τον εισβολέα για να προωθήσει την επίθεσή του δίνοντας πρόσβαση σε κρίσιμης σημασίας υποδομή ή πρόσθετα διαπιστευτήρια προγραμματιστή», λέει.
Η Phylum έχει σημειώσει κάποια πρόοδο στον εντοπισμό του εισβολέα και έχει στείλει αναφορές στις εταιρείες των οποίων η υποδομή χρησιμοποιείται.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
