Python Package Indexin (PyPI) järjestelmänvalvojat ovat poistaneet 10 haittaohjelmakoodipakettia rekisteristä sen jälkeen, kun tietoturvatoimittaja ilmoitti heille ongelmasta.
Tapaus on viimeisin nopeasti kasvavassa luettelossa viimeaikaisista tapauksista, joissa uhkatoimijat ovat sijoittaneet petollisia ohjelmistoja laajalti käytettyihin ohjelmistovarastoihin, kuten PyPI, Node Package Manager (npm) ja Maven Central, tavoitteenaan vaarantaa useita organisaatioita. Tietoturva-analyytikot ovat kuvanneet trendin lisäävän merkittävästi kehitystiimien tarvetta noudattaa asianmukaista huolellisuutta lataaessaan kolmannen osapuolen ja avoimen lähdekoodin julkisista rekistereistä.
Check Pointin Spectralops.io-sivuston tutkijat löysivät tämän viimeisimmän haitallisten pakettien sarjan PyPI:stä ja havaitsivat, että ne ovat tietovarastajien haittaohjelmia. Paketit suunniteltiin näyttämään lailliselta koodilta – ja joissain tapauksissa matkivat muita suosittuja PyPI:n paketteja.
Haitallinen koodi asennuskomentosarjassa
Check Pointin tutkijat havaitsivat, että haittaohjelman rekisteriin sijoittaneet uhkatekijät olivat upottaneet haitallista koodia paketin asennuskomentosarja. Joten kun kehittäjä käytti "pip"-asennuskomentoa asentaakseen minkä tahansa rogue-paketin, haitallinen koodi juoksi huomaamatta käyttäjän koneelle ja asensi haittaohjelmien dropperin.
Esimerkiksi yksi väärennetyistä paketeista, nimeltään "Ascii2text", sisälsi haitallista koodia asennusskriptin (setup.py) tuomassa tiedostossa (_init_.py). Kun kehittäjä yritti asentaa paketin, koodi lataa ja suoritti komentosarjan, joka etsi paikallisia salasanoja, jonka se sitten latasi Discord-palvelimelle. Haitallinen paketti suunniteltiin Check Pointin mukaan näyttämään täsmälleen samalta kuin suosittu taidepaketti, jolla on sama nimi ja kuvaus.
Kolme kymmenestä rogue-paketista (Pyg-utils, Pymocks ja PyProto10) näyttää olevan saman uhkatoimijan kehittämä, joka äskettäin otti käyttöön haittaohjelmia varastaa AWS-tunnistetietoja PyPI:ssä. Py-Utils esimerkiksi liittyi setup.py-asennusprosessin aikana samaan haitalliseen verkkotunnukseen kuin se, jota käytettiin AWS:n tunnistetietojen varastamiskampanjassa. Vaikka Pymocks ja PyProto2 liittyivät eri haitalliseen verkkotunnukseen asennuksen aikana, niiden koodi oli lähes identtinen Pyg-utilsin kanssa, mikä sai Check Pointin uskomaan, että sama tekijä oli luonut kaikki kolme pakettia.
Muut paketit sisältävät todennäköisesti haittaohjelmien latausohjelman nimeltä Test-async, jonka väitettiin olevan koodin testauspaketti; yksi nimeltä WINRPCexploit käyttäjien tunnistetietojen varastamiseksi setup.py-asennuksen aikana; ja kaksi pakettia (Free-net-vpn ja Free-net-vpn2) ympäristömuuttujien varastamista varten.
"On olennaista, että kehittäjät pitävät toimintansa turvassa ja tarkistavat kaikki käytössä olevat ohjelmistokomponentit ja erityisesti ne, joita ladataan eri arkistoista", Check Point varoittaa.
Tietoturvatoimittaja ei heti vastannut kysymykseen, kuinka kauan haittapaketit ovat saattaneet olla saatavilla PyPI-rekisterissä tai kuinka moni on voinut ladata ne.
Kasvava toimitusketjun altistuminen
Tapaus on viimeisin, joka korostaa kasvavia vaaroja, joita aiheutuu kolmannen osapuolen koodin lataamisesta julkisista tietovarastoista ilman asianmukaista valvontaa.
Juuri viime viikolla Sonatype ilmoitti löytäneensä kolme pakettia, jotka sisältävät kiristysohjelmia jonka italialainen kouluikäinen hakkeri oli ladannut PyPI:hen osana kokeilua. Yli 250 käyttäjää latasi yhden paketeista, joista 11:n tietokoneella olevat tiedostot olivat salattuja. Siinä tapauksessa uhrit saivat salauksen purkuavaimen maksamatta lunnaita, koska hakkeri oli ilmeisesti ladannut haittaohjelman ilman pahantahtoisuutta.
On kuitenkin ollut lukuisia muita tapauksia, joissa hyökkääjät ovat käyttäneet julkisia koodivarastoja haittaohjelmien jakelun aloitusalustoina.
Aiemmin tänä vuonna Sonatype löysi myös haitallisen paketin Cobalt Strike -hyökkäyssarjan lataamiseksi PyPI:lle. Noin 300 kehittäjää latasi haittaohjelman ennen kuin se poistettiin. Heinäkuussa Kasperskyn tutkijat löysivät neljä erittäin hämmentynyttä tiedon varastajaa väijyy Java-ohjelmoijien laajasti käytetyssä npm-varastossa.
Hyökkääjät ovat alkaneet kohdistaa yhä enemmän näihin rekistereihin niiden laajan ulottuvuuden vuoksi. Esimerkiksi PyPI on ohi 613,000 käyttäjät ja sivuston koodi on tällä hetkellä upotettu yli 391,000 500 projektiin maailmanlaajuisesti. Kaikenkokoiset ja -tyyppiset organisaatiot – mukaan lukien Fortune XNUMX -yritykset, ohjelmistojen julkaisijat ja valtion virastot – käyttävät julkisten tietovarastojen koodia omien ohjelmistojensa rakentamiseen.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
