हमलावर नकली पायथन पैकेज बनाना जारी रखते हैं और W4SP स्टीलर के साथ डेवलपर्स के सिस्टम को संक्रमित करने के प्रयास में अल्पविकसित अस्पष्ट तकनीकों का उपयोग करते हैं, एक ट्रोजन जिसे क्रिप्टोकरेंसी जानकारी चुराने, संवेदनशील डेटा को बाहर निकालने और डेवलपर्स के सिस्टम से क्रेडेंशियल एकत्र करने के लिए डिज़ाइन किया गया है।
सॉफ्टवेयर आपूर्ति श्रृंखला फर्म फाइलम द्वारा इस सप्ताह प्रकाशित एक सलाह के अनुसार, एक खतरे वाले अभिनेता ने पायथन पैकेज इंडेक्स (पीईपीआई) पर लोकप्रिय सॉफ्टवेयर पैकेजों के 29 क्लोन बनाए हैं, उन्हें सौम्य-ध्वनि वाले नाम दिए हैं या जानबूझकर उन्हें वैध पैकेजों के समान नाम दिए हैं, ए अभ्यास को टाइपोस्क्वैटिंग के रूप में जाना जाता है। यदि कोई डेवलपर दुर्भावनापूर्ण पैकेजों को डाउनलोड और लोड करता है, तो सेटअप स्क्रिप्ट भी - कई अस्पष्ट चरणों के माध्यम से - W4SP स्टीलर ट्रोजन इंस्टॉल करता है। शोधकर्ताओं ने कहा कि पैकेजों को 5,700 बार डाउनलोड किया गया है।
फ़ाइलम के सह-संस्थापक और सीटीओ लुइस लैंग कहते हैं, जबकि W4SP स्टीलर क्रिप्टोकरेंसी वॉलेट और वित्तीय खातों को लक्षित करता है, वर्तमान अभियानों का सबसे महत्वपूर्ण उद्देश्य डेवलपर रहस्य प्रतीत होता है।
"यह उन ईमेल फ़िशिंग अभियानों के विपरीत नहीं है जिन्हें हम देखने के आदी हैं, केवल इस बार हमलावर पूरी तरह से डेवलपर्स को लक्षित कर रहे हैं," वे कहते हैं। "यह ध्यान में रखते हुए कि डेवलपर्स अक्सर ताज के गहनों तक पहुंच रखते हैं, एक सफल हमला किसी संगठन के लिए विनाशकारी हो सकता है।"
अज्ञात अभिनेता या समूह द्वारा पीईपीआई पर हमले, सॉफ्टवेयर आपूर्ति श्रृंखला को लक्षित करने के लिए नवीनतम खतरे हैं। रिपॉजिटरी सेवाओं के माध्यम से वितरित ओपन सोर्स सॉफ़्टवेयर घटक, जैसे कि पीईपीआई और नोड पैकेज मैनेजर (एनपीएम), हमलों का एक लोकप्रिय वेक्टर हैं, जैसे सॉफ़्टवेयर में आयातित निर्भरताओं की संख्या में नाटकीय रूप से वृद्धि हुई है. हमलावर लापरवाह डेवलपर्स के सिस्टम में मैलवेयर वितरित करने के लिए पारिस्थितिक तंत्र का उपयोग करने का प्रयास करते हैं, जैसा कि हुआ था रूबी जेम्स इकोसिस्टम पर 2020 का हमला और आक्रमण करता है डॉकर हब छवि पारिस्थितिकी तंत्र. और अगस्त में, चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज के सुरक्षा शोधकर्ता 10 PyPI पैकेज मिले जिसने जानकारी चुराने वाला मैलवेयर गिरा दिया।
इस नवीनतम अभियान में, "ये पैकेज W4SP स्टीलर को पायथन डेवलपर की मशीनों पर पहुंचाने का एक अधिक परिष्कृत प्रयास है," फाइलम के शोधकर्ता उनके विश्लेषण में कहा गया है, जोड़ते हुए: "चूंकि यह एक दृढ़ हमलावर की लगातार बदलती रणनीति के साथ चल रहा हमला है, हमें निकट भविष्य में इस तरह के और अधिक मैलवेयर देखने की आशंका है।"
PyPI अटैक एक "नंबर गेम" है
यह हमला उन डेवलपर्स का फायदा उठाता है जो गलती से एक सामान्य पैकेज का नाम गलत टाइप कर देते हैं या सॉफ्टवेयर के स्रोत की पर्याप्त जांच किए बिना एक नए पैकेज का उपयोग करते हैं। एक दुर्भावनापूर्ण पैकेज, जिसका नाम "टाइपसुटिल" है, कुछ संशोधनों के साथ लोकप्रिय पायथन पैकेज "डेटाटाइम2" की एक प्रति है।
प्रारंभ में, दुर्भावनापूर्ण सॉफ़्टवेयर आयात करने वाला कोई भी प्रोग्राम सेटअप चरण के दौरान मैलवेयर डाउनलोड करने के लिए एक कमांड चलाएगा, जब पायथन निर्भरता लोड करता है। हालाँकि, क्योंकि PyPI ने कुछ जाँचें लागू कीं, हमलावरों ने अधिकांश कोड संपादकों की सामान्य देखने योग्य सीमा के बाहर संदिग्ध कमांड को धकेलने के लिए व्हाइटस्पेस का उपयोग करना शुरू कर दिया।
फाइलम ने कहा, "हमलावर ने रणनीति को थोड़ा बदल दिया, और आयात को एक स्पष्ट स्थान पर डंप करने के बजाय, इसे स्क्रीन से हटा दिया गया, जिससे दुर्भावनापूर्ण कोड को अन्य वैध कोड के समान लाइन पर छिपाने के लिए पायथन के शायद ही कभी इस्तेमाल किए गए अर्धविराम का फायदा उठाया गया।" इसके विश्लेषण में.
फ़ाइलम लैंग का कहना है कि टाइपोस्क्वैटिंग एक कम-विश्वसनीयता वाला हमला है जिसमें केवल दुर्लभ सफलताएँ होती हैं, संभावित इनाम की तुलना में इस प्रयास में हमलावरों की लागत बहुत कम होती है।
उनका कहना है, ''यह एक संख्या का खेल है जिसमें हमलावर दैनिक आधार पर इन दुर्भावनापूर्ण पैकेजों के साथ पैकेज पारिस्थितिकी तंत्र को प्रदूषित कर रहे हैं।'' "दुर्भाग्यपूर्ण वास्तविकता यह है कि इन दुर्भावनापूर्ण पैकेजों में से एक को तैनात करने की लागत संभावित इनाम की तुलना में बेहद कम है।"
एक W4SP जो डंक मारता है
हमले का अंतिम लक्ष्य "सूचना-चोरी करने वाले ट्रोजन W4SP स्टीलर को स्थापित करना है, जो पीड़ित के सिस्टम की गणना करता है, ब्राउज़र-संग्रहीत पासवर्ड चुराता है, क्रिप्टोकरेंसी वॉलेट को लक्षित करता है, और 'बैंक' और 'सीक्रेट' जैसे कीवर्ड का उपयोग करके दिलचस्प फ़ाइलों की खोज करता है। ,'' लैंग कहते हैं।
"क्रिप्टोकरेंसी या बैंकिंग जानकारी चुराने के स्पष्ट मौद्रिक पुरस्कारों के अलावा, चुराई गई कुछ जानकारी का उपयोग हमलावर द्वारा महत्वपूर्ण बुनियादी ढांचे या अतिरिक्त डेवलपर क्रेडेंशियल्स तक पहुंच प्रदान करके अपने हमले को आगे बढ़ाने के लिए किया जा सकता है," वे कहते हैं।
फाइलम ने हमलावर की पहचान करने में कुछ प्रगति की है और उन कंपनियों को रिपोर्ट भेज दी है जिनके बुनियादी ढांचे का उपयोग किया जा रहा है।
