A támadók továbbra is hamis Python-csomagokat hoznak létre, és kezdetleges elhomályosítási technikákat alkalmaznak, hogy megfertőzzék a fejlesztők rendszereit a W4SP Stealer nevű trójaival, amely kriptovaluta-információk ellopására, érzékeny adatok kiszűrésére és a fejlesztők rendszereiből származó hitelesítő adatok gyűjtésére szolgál.
A Phylum szoftverellátási láncot gyártó cég ezen a héten közzétett tanácsa szerint egy fenyegetettség szereplő népszerű szoftvercsomagok 29 klónját hozta létre a Python Package Indexen (PyPI), jóindulatú nevet adva nekik, vagy szándékosan a legális csomagokhoz hasonló elnevezéseket. typosquatting néven ismert gyakorlat. Ha egy fejlesztő letölti és betölti a rosszindulatú csomagokat, a telepítő szkript telepíti a W4SP Stealer trójai programot is – számos elhomályosított lépésen keresztül. A csomagok 5,700 letöltést tettek ki a kutatók szerint.
Míg a W4SP Stealer a kriptovaluta pénztárcákat és a pénzügyi számlákat célozza meg, a jelenlegi kampányok legjelentősebb célja a fejlesztői titkok jelentik, mondja Louis Lang, a Phylum társalapítója és technológiai igazgatója.
„Ez nem különbözik az e-mailes adathalász kampányoktól, amelyeket megszoktunk, csak ezúttal a támadók kizárólag a fejlesztőket célozzák meg” – mondja. „Tekintettel arra, hogy a fejlesztők gyakran rendelkeznek hozzáféréssel a koronaékszerekhez, egy sikeres támadás pusztító hatású lehet egy szervezet számára.”
Az ismeretlen szereplő vagy csoport PyPI elleni támadásai csak a legújabb fenyegetések, amelyek a szoftverellátási láncot célozzák. A tárolószolgáltatásokon keresztül terjesztett nyílt forráskódú szoftverkomponensek, mint például a PyPI és a Node Package Manager (npm), a támadások népszerű vektorai, mint pl. drámaian megnőtt a szoftverekbe importált függőségek száma. A támadók megkísérlik az ökoszisztémák felhasználásával rosszindulatú programokat terjeszteni az óvatlan fejlesztők rendszereibe, ahogy az történt egy 2020-as támadás a Ruby Gems ökoszisztéma ellen és megtámadja a Docker Hub képi ökoszisztéma. Augusztusban pedig a Check Point Software Technologies biztonsági kutatói 10 PyPI-csomagot talált amely eldobta az információlopó kártevőket.
Ebben a legújabb kampányban „ezek a csomagok egy kifinomultabb kísérlet arra, hogy a W4SP Stealer-t a Python fejlesztői gépeire szállítsák” – mondta a Phylum kutatói. – állapították meg elemzésükben, hozzátéve: "Mivel ez egy folyamatos támadás, állandóan változó taktikával egy elszánt támadótól, gyanítjuk, hogy a közeljövőben több, ehhez hasonló rosszindulatú program fog megjelenni."
A PyPI Attack egy „számjáték”
Ez a támadás kihasználja azokat a fejlesztőket, akik tévedésből félreírják egy általános csomag nevét, vagy új csomagot használnak anélkül, hogy megfelelően ellenőrizték volna a szoftver forrását. Az egyik „typesutil” nevű rosszindulatú csomag csak egy másolata a népszerű Python „datetime2” csomagnak, néhány módosítással.
Kezdetben minden olyan program, amely a rosszindulatú szoftvert importálta, parancsot futtatott a rosszindulatú programok letöltésére a telepítési szakaszban, amikor a Python betölti a függőségeket. Mivel azonban a PyPI végrehajtott bizonyos ellenőrzéseket, a támadók szóközt kezdtek használni, hogy a gyanús parancsokat a legtöbb kódszerkesztő normál látható tartományán kívülre tolják.
"A támadó kissé megváltoztatta a taktikát, és ahelyett, hogy csak egy nyilvánvaló helyen dömpingelte volna az importot, nagyon lekerült a képernyőről, kihasználva a Python ritkán használt pontosvesszőjét, hogy a rosszindulatú kódot ugyanabba a sorba lopja, mint a többi legitim kódot" - mondta Phylum. elemzésében.
Míg a gépelés alacsony hűségű támadás, csak ritka sikerekkel, az erőfeszítés kevésbe kerül a támadóknak a lehetséges jutalomhoz képest, mondja Phylum's Lang.
„Ez egy számjáték, amelyben támadók naponta szennyezik a csomagok ökoszisztémáját ezekkel a rosszindulatú csomagokkal” – mondja. "A sajnálatos valóság az, hogy az ilyen rosszindulatú csomagok telepítésének költsége rendkívül alacsony a lehetséges jutalomhoz képest."
Egy W4SP, ami csíp
A támadás végső célja az információlopó trójai W4SP Stealer telepítése, amely felsorolja az áldozat rendszerét, ellopja a böngészőben tárolt jelszavakat, megcélozza a kriptovaluta pénztárcákat, és olyan kulcsszavak használatával érdekes fájlokat keres, mint a „bank” és a „titkos”. "" – mondja Lang.
„A kriptovaluta vagy banki információk ellopásának nyilvánvaló pénzbeli jutalma mellett a támadó az ellopott információk egy részét felhasználhatja a támadás további fokozására, hozzáférést biztosítva a kritikus infrastruktúrához vagy további fejlesztői hitelesítő adatokhoz” – mondja.
A Phylum némi haladást ért el a támadó azonosításában, és jelentéseket küldött azoknak a vállalatoknak, amelyek infrastruktúráját használják.
