W4SP Stealer pistää Python-kehittäjiä toimitusketjuhyökkäykseen

Hyökkääjät luovat edelleen väärennettyjä Python-paketteja ja käyttävät alkeellisia hämärätekniikoita yrittääkseen saastuttaa kehittäjien järjestelmät W4SP Stealer -troijalaisella, joka on suunniteltu varastamaan kryptovaluuttatietoja, suodattamaan arkaluontoisia tietoja ja keräämään tunnistetietoja kehittäjien järjestelmistä.

Ohjelmistojen toimitusketjuyrityksen Phylumin tällä viikolla julkaiseman neuvon mukaan uhkatoimija on luonut 29 kloonia suosituista ohjelmistopaketteista Python Package Indexiin (PyPI) ja antanut niille hyvän kuulostavia nimiä tai tarkoituksellisesti laillisia paketteja muistuttavia nimiä. käytäntö, joka tunnetaan nimellä typosquatting. Jos kehittäjä lataa ja lataa haitalliset paketit, asennuskomentosarja asentaa myös W4SP Stealer Troijalaisen - useiden hämärtyneiden vaiheiden kautta. Tutkijoiden mukaan paketteja on ladattu 5,700 XNUMX kertaa.

Vaikka W4SP Stealer tähtää kryptovaluuttalompakoihin ja taloustileihin, nykyisten kampanjoiden tärkein tavoite näyttää olevan kehittäjien salaisuudet, sanoo Louis Lang, Phylumin toinen perustaja ja teknologiajohtaja.

"Se ei eroa sähköpostin tietojenkalastelukampanjoista, joita olemme tottuneet näkemään, mutta tällä kertaa hyökkääjät kohdistavat ainoastaan ​​kehittäjiin", hän sanoo. "Kun otetaan huomioon, että kehittäjillä on usein pääsy kruununjalokiviin, onnistunut hyökkäys voi olla organisaatiolle tuhoisa."

Tuntemattoman toimijan tai ryhmän PyPI-hyökkäykset ovat vain uusimpia uhkia, jotka kohdistuvat ohjelmistojen toimitusketjuun. Arkistopalveluiden, kuten PyPI:n ja Node Package Managerin (npm) kautta jaettavat avoimen lähdekoodin ohjelmistokomponentit ovat suosittuja hyökkäyksiä, kuten ohjelmistoihin tuotujen riippuvuuksien määrä on kasvanut dramaattisesti. Hyökkääjät yrittävät käyttää ekosysteemejä levittääkseen haittaohjelmia varomattomien kehittäjien järjestelmiin, kuten tapahtui 2020 hyökkäys Ruby Gems -ekosysteemiin ja hyökkää Docker Hub -kuvaekosysteemi. Ja elokuussa Check Point Software Technologiesin tietoturvatutkijat löysi 10 PyPI-pakettia joka pudotti tietoa varastavat haittaohjelmat. 

Tässä uusimmassa kampanjassa "nämä paketit ovat hienostuneempi yritys toimittaa W4SP Stealer Python-kehittäjän koneille", Phylumin tutkijat. totesivat analyysissaan, lisää: "Koska tämä on jatkuva hyökkäys, jonka taktiikat muuttuvat jatkuvasti määrätietoiselta hyökkääjältä, epäilemme näkevämme lisää tämänkaltaisia ​​haittaohjelmia lähitulevaisuudessa."

PyPI Attack on "numeropeli"

Tämä hyökkäys hyödyntää kehittäjiä, jotka kirjoittavat vahingossa väärin yleisen paketin nimen tai käyttävät uutta pakettia tarkistamatta riittävästi ohjelmiston lähdettä. Yksi haitallinen paketti, nimeltään "typesutil", on vain kopio suositusta Python-paketista "datetime2" muutamalla muokkauksella.

Aluksi mikä tahansa haittaohjelmiston tuonut ohjelma suoritti haittaohjelmien lataamiskomennon asennusvaiheessa, kun Python lataa riippuvuuksia. Koska PyPI toteutti kuitenkin tiettyjä tarkistuksia, hyökkääjät alkoivat käyttää välilyöntejä työntämään epäilyttävät komennot useimpien koodieditorien normaalin katselualueen ulkopuolelle.

"Hyökkääjä muutti hieman taktiikkaa, ja sen sijaan, että tuonti olisi vain polkenut näkyvään paikkaan, se sijoitettiin huijaavasti pois näytöltä hyödyntäen Pythonin harvoin käytettyä puolipistettä livahtaakseen haitallisen koodin samalle riville muun laillisen koodin kanssa", Phylum sanoi. analyysissaan.

Vaikka kirjoitusvirhe on matalan tarkkuuden hyökkäys, jolla on vain harvoja onnistumisia, ponnistelut maksavat hyökkääjille vähän verrattuna mahdolliseen palkkioon, sanoo Phylum's Lang.

"Se on numeropeli, jossa hyökkääjät saastuttavat pakettiekosysteemiä näillä haitallisilla paketeilla päivittäin", hän sanoo. "Valitettava todellisuus on, että yhden näistä haitallisista paketeista aiheutuvat kustannukset ovat erittäin alhaiset suhteessa mahdolliseen palkkioon."

W4SP joka pistää

Hyökkäyksen lopullinen tavoite on asentaa "tietoja varastava troijalainen W4SP Stealer, joka luettelee uhrin järjestelmän, varastaa selaimeen tallennettuja salasanoja, kohdistaa kryptovaluuttalompakoihin ja etsii mielenkiintoisia tiedostoja käyttämällä avainsanoja, kuten "pankki" ja "salainen". ”, Lang sanoo.

"Lukuun ottamatta ilmeisiä rahallisia palkintoja kryptovaluuttojen tai pankkitietojen varastamisesta, hyökkääjä saattoi käyttää osan varastetuista tiedoista edistääkseen hyökkäystään antamalla pääsyn kriittiseen infrastruktuuriin tai lisää kehittäjän tunnistetietoja", hän sanoo.

Phylum on edistynyt jonkin verran hyökkääjän tunnistamisessa ja on lähettänyt raportteja yrityksille, joiden infrastruktuuria käytetään.