Ründajad jätkavad võltsitud Pythoni pakettide loomist ja algeliste hägustamistehnikate kasutamist, püüdes nakatada arendajate süsteeme W4SP Stealeriga – troojalasega, mis on loodud krüptovaluutateabe varastamiseks, tundlike andmete väljafiltreerimiseks ja arendajate süsteemidest mandaatide kogumiseks.
Tarkvara tarneahela ettevõtte Phylum sel nädalal avaldatud nõuande kohaselt on ohus osaleja Python Package Indexis (PyPI) loonud 29 populaarsete tarkvarapakettide klooni, andes neile heakõlalisi nimesid või andes neile sihipäraselt seaduslikele pakettidele sarnaseid nimesid. tava, mida tuntakse kui typosquatting. Kui arendaja laadib alla ja laadib pahatahtlikud paketid, installib häälestusskript – mitmete hägusate sammude kaudu – ka W4SP Stealer Trooja. Teadlaste sõnul on pakette alla laaditud 5,700.
Kuigi W4SP Stealer sihib krüptoraha rahakotte ja finantskontosid, näib praeguste kampaaniate kõige olulisem eesmärk olevat arendaja saladused, ütleb Louis Lang, Phylumi kaasasutaja ja tehnoloogiadirektor.
"See ei erine e-kirjade andmepüügikampaaniatest, mida oleme harjunud nägema, vaid seekord sihivad ründajad ainult arendajaid," ütleb ta. "Arvestades, et arendajatel on sageli juurdepääs kroonijuveelidele, võib edukas rünnak olla organisatsiooni jaoks laastav."
Tundmatu osaleja või grupi ründed PyPI vastu on vaid viimased ohud, mis on suunatud tarkvara tarneahelale. Hoidlateenuste kaudu levitatavad avatud lähtekoodiga tarkvarakomponendid, nagu PyPI ja Node Package Manager (npm), on populaarne rünnakute vektor, nagu tarkvarasse imporditud sõltuvuste arv on hüppeliselt kasvanud. Ründajad üritavad ökosüsteeme kasutada pahavara levitamiseks ettevaatlike arendajate süsteemidesse, nagu juhtus 2020. aasta rünnak Ruby Gems ökosüsteemile ja ründab Docker Hubi kujutise ökosüsteem. Ja augustis Check Point Software Technologiesi turvateadlased leidis 10 PyPI paketti mis kaotas teavet varastava pahavara.
Selles viimases kampaanias on "need paketid keerukam katse toimetada W4SP Stealer Pythoni arendaja masinatesse," ütles Phylumi teadlased. märkis oma analüüsis, lisades: "Kuna tegemist on pideva rünnakuga, mille taktikad muutuvad kindlameelse ründaja poolt, kahtlustame, et lähitulevikus ilmub rohkem sellist pahavara."
PyPI rünnak on "numbrite mäng"
See rünnak kasutab ära arendajaid, kes kirjutavad ekslikult tavalise paketi nime valesti või kasutavad uut paketti ilma tarkvara allikat piisavalt kontrollimata. Üks pahatahtlik pakett nimega "typesutil" on vaid mõne muudatusega populaarse Pythoni paketi "datetime2" koopia.
Algselt käivitas mis tahes programm, mis ründetarkvara importis, häälestusfaasis, kui Python sõltuvusi laadib, pahavara allalaadimise käsu. Kuna aga PyPI rakendas teatud kontrolle, hakkasid ründajad kasutama tühikuid, et lükata kahtlased käsud väljapoole enamiku koodiredaktorite tavalist vaadatavat vahemikku.
"Ründaja muutis veidi taktikat ja selle asemel, et importida lihtsalt nähtavasse kohta, paigutati see lihtsalt ekraanilt välja, kasutades ära Pythoni harva kasutatavat semikoolonit, et hiilida pahatahtlik kood samale reale muu seadusliku koodiga," ütles Phylum. oma analüüsis.
Kuigi kirjapilt on vähese täpsusega rünnak, millel on harvad edusammud, läheb see pingutus ründajatele potentsiaalse tasuga võrreldes vähe maksma, ütleb Phylumi Lang.
"See on numbrimäng, kus ründajad saastavad iga päev nende pahatahtlike pakettidega paketi ökosüsteemi," ütleb ta. "Kahjuks reaalsus on see, et ühe sellise pahatahtliku paketi juurutamise kulud on potentsiaalse tasu suhtes äärmiselt madalad."
W4SP, mis kipitab
Rünnaku lõppeesmärk on installida "teavet varastav troojalane W4SP Stealer, mis loetleb ohvri süsteemi, varastab brauserisse salvestatud paroole, sihib krüptoraha rahakotte ja otsib huvitavaid faile selliste märksõnade abil nagu "pank" ja "saladus". ,” ütleb Lang.
"Lisaks ilmselgetele rahalistele hüvedele, mis kaasnevad krüptovaluuta või pangateabe varastamisega, võib ründaja mõnda varjatud teavet kasutada oma rünnaku edendamiseks, võimaldades juurdepääsu kriitilisele infrastruktuurile või täiendavatele arendajamandaatidele," ütleb ta.
Phylum on teinud mõningaid edusamme ründaja tuvastamisel ja saatnud aruandeid ettevõtetele, kelle infrastruktuuri kasutatakse.
