مهاجمان به ایجاد بستههای جعلی پایتون و استفاده از تکنیکهای مبهم سازی ابتدایی در تلاش برای آلوده کردن سیستمهای توسعهدهندگان با W4SP Stealer، تروجانی که برای سرقت اطلاعات ارزهای دیجیتال، استخراج دادههای حساس و جمعآوری اعتبار از سیستمهای توسعهدهندگان طراحی شده است، ادامه میدهند.
بر اساس توصیهای که این هفته توسط شرکت زنجیره تامین نرمافزار Phylum منتشر شد، یک عامل تهدید 29 کلون از بستههای نرمافزاری محبوب را در فهرست بستههای پایتون (PyPI) ایجاد کرده است، به آنها نامهای خوشخیم میدهد یا عمداً نامهایی شبیه بستههای قانونی به آنها میدهد. عملی که به عنوان typosquatting شناخته می شود. اگر یک توسعهدهنده بستههای مخرب را دانلود و بارگذاری کند، اسکریپت راهاندازی نیز - از طریق تعدادی از مراحل مبهم - W4SP Stealer Trojan را نصب میکند. به گفته محققان، این بسته ها 5,700 بار دانلود شده اند.
لویی لانگ، یکی از بنیانگذاران و CTO در Phylum می گوید، در حالی که W4SP Stealer کیف پول های ارزهای دیجیتال و حساب های مالی را هدف قرار می دهد، به نظر می رسد مهم ترین هدف کمپین های فعلی اسرار توسعه دهندگان باشد.
او میگوید: «این بی شباهت به کمپینهای فیشینگ ایمیلی نیست که ما به دیدن آنها عادت کردهایم، فقط این بار مهاجمان تنها توسعهدهندگان را هدف قرار میدهند. "با توجه به اینکه توسعه دهندگان اغلب به جواهرات تاج دسترسی دارند، یک حمله موفقیت آمیز می تواند برای یک سازمان ویرانگر باشد."
حملات به PyPI توسط یک بازیگر یا گروه ناشناس، تنها آخرین تهدید برای هدف قرار دادن زنجیره تامین نرم افزار است. اجزای نرم افزار منبع باز توزیع شده از طریق سرویس های مخزن، مانند PyPI و Node Package Manager (npm)، یک بردار محبوب حملات هستند، تعداد وابستگی های وارد شده به نرم افزار به طور چشمگیری افزایش یافته است. مهاجمان سعی میکنند از اکوسیستمها برای توزیع بدافزار در سیستمهای توسعهدهندگان بیاحتیاط استفاده کنند، همانطور که در حمله 2020 به اکوسیستم Ruby Gems و حمله به اکوسیستم تصویر داکر هاب. و در ماه اوت، محققان امنیتی در Check Point Software Technologies 10 بسته PyPI پیدا شد که بدافزار سرقت اطلاعات را حذف کرد.
محققان Phylum در این جدیدترین کمپین، «این بستهها تلاشی پیچیدهتر برای ارائه W4SP Stealer به ماشینهای توسعهدهنده پایتون هستند». در تحلیل خود بیان کردندو افزود: «از آنجایی که این یک حمله مداوم با تاکتیکهای دائماً در حال تغییر از یک مهاجم مصمم است، ما مشکوک هستیم که در آینده نزدیک شاهد ظهور بدافزارهای بیشتری مانند این باشیم.»
حمله PyPI یک "بازی اعداد" است
این حمله از توسعه دهندگانی استفاده می کند که به اشتباه نام یک بسته معمولی را اشتباه تایپ می کنند یا از یک بسته جدید بدون بررسی کافی منبع نرم افزار استفاده می کنند. یک بسته مخرب، به نام "typesutil"، تنها یک کپی از بسته محبوب Python "datetime2" با چند تغییر است.
در ابتدا، هر برنامهای که نرمافزار مخرب را وارد میکند، فرمانی را برای دانلود بدافزار در مرحله راهاندازی، زمانی که پایتون وابستگیها را بارگیری میکند، اجرا میکند. با این حال، از آنجایی که PyPI بررسیهای خاصی را اجرا کرد، مهاجمان شروع به استفاده از فضای خالی برای فشار دادن دستورات مشکوک خارج از محدوده قابل مشاهده عادی اکثر ویرایشگرهای کد کردند.
فیلوم اظهار داشت: مهاجم تاکتیکهای خود را اندکی تغییر داد و به جای اینکه فقط واردات را در یک نقطه آشکار بیاندازد، با استفاده از نقطه ویرگول پایتون که به ندرت استفاده میشد، کد مخرب را در همان خطی که سایر کدهای قانونی دیگر استفاده میکردند، خارج از صفحه قرار داد. در تحلیل آن
Phylum's Lang میگوید: در حالی که typosquatting یک حمله کم وفاداری با موفقیتهای نادر است، تلاش برای مهاجمان در مقایسه با پاداش بالقوه هزینه کمی دارد.
او میگوید: «این یک بازی اعداد با مهاجمانی است که اکوسیستم بستهها را به صورت روزانه با این بستههای مخرب آلوده میکنند. واقعیت تاسف بار این است که هزینه استقرار یکی از این بسته های مخرب نسبت به پاداش بالقوه بسیار پایین است.
W4SP که نیش می زند
هدف نهایی این حمله نصب تروجان W4SP Stealer است که سیستم قربانی را برمیشمارد، رمزهای عبور ذخیرهشده در مرورگر را میدزدد، کیف پولهای ارزهای دیجیتال را هدف قرار میدهد و فایلهای جالب را با استفاده از کلمات کلیدی مانند «بانک» و «مخفی» جستجو میکند. لانگ می گوید.
او میگوید: «بهجز پاداشهای پولی آشکار سرقت ارزهای دیجیتال یا اطلاعات بانکی، برخی از اطلاعات سرقتشده میتواند توسط مهاجم برای پیشبرد حمله خود با دسترسی به زیرساختهای حیاتی یا اعتبارنامههای توسعهدهنده اضافی مورد استفاده قرار گیرد.»
Phylum در شناسایی مهاجم پیشرفت هایی داشته است و گزارش هایی را برای شرکت هایی که زیرساخت آنها استفاده می شود ارسال کرده است.