Gli amministratori del Python Package Index (PyPI) hanno rimosso 10 pacchetti di codici software dannosi dal registro dopo che un fornitore di servizi di sicurezza li ha informati del problema.
L'incidente è l'ultimo di un elenco in rapida crescita di casi recenti in cui gli attori delle minacce hanno inserito software non autorizzato su repository software ampiamente utilizzati come PyPI, Node Package Manager (npm) e Maven Central, con l'obiettivo di compromettere più organizzazioni. Gli analisti della sicurezza hanno descritto la tendenza come un aumento significativo della necessità per i team di sviluppo di esercitare la due diligence durante il download di codice open source e di terze parti dai registri pubblici.
I ricercatori di Spectralops.io di Check Point hanno scoperto questo ultimo set di pacchetti dannosi su PyPI e li hanno trovati contagocce per il malware che ruba informazioni. I pacchetti sono stati progettati per sembrare codice legittimo e in alcuni casi imitavano altri pacchetti popolari su PyPI.
Codice dannoso negli script di installazione
I ricercatori di Check Point hanno scoperto che gli attori delle minacce che avevano inserito il malware nel registro avevano incorporato codice dannoso nel file script di installazione del pacchetto. Pertanto, quando uno sviluppatore utilizzava il comando di installazione "pip" per installare uno qualsiasi dei pacchetti canaglia, il codice dannoso veniva eseguito inosservato sul computer dell'utente e installava il contagocce del malware.
Ad esempio, uno dei pacchetti falsi, chiamato "Ascii2text", conteneva codice dannoso in un file (_init_.py) importato dallo script di installazione (setup.py). Quando uno sviluppatore tentava di installare il pacchetto, il codice scaricava ed eseguiva uno script che cercava le password locali, che poi caricava su un server Discord. Il pacchetto dannoso è stato progettato per assomigliare esattamente a un popolare pacchetto artistico con lo stesso nome e descrizione, secondo Check Point.
Tre dei 10 pacchetti canaglia (Pyg-utils, Pymocks e PyProto2) sembrano essere stati sviluppati dallo stesso attore di minacce che ha recentemente distribuito malware per rubare le credenziali AWS su PyPI. Durante il processo di installazione di setup.py, Py-Utils, ad esempio, si è connesso allo stesso dominio dannoso utilizzato nella campagna di furto di credenziali di AWS. Sebbene Pymocks e PyProto2 si siano collegati a un dominio dannoso diverso durante il processo di installazione, il loro codice era quasi identico a Pyg-utils, portando Check Point a credere che lo stesso autore avesse creato tutti e tre i pacchetti.
Gli altri pacchetti includono un probabile downloader di malware chiamato Test-async che pretendeva di essere un pacchetto per testare il codice; uno chiamato WINRPCexploit per rubare le credenziali dell'utente durante il processo di installazione di setup.py; e due pacchetti (Free-net-vpn e Free-net-vpn2) per il furto di variabili d'ambiente.
"È essenziale che gli sviluppatori mantengano le loro azioni al sicuro, ricontrollando ogni ingrediente software in uso e soprattutto quello che viene scaricato da diversi repository", avverte Check Point.
Il fornitore della sicurezza non ha risposto immediatamente alla domanda per quanto tempo i pacchetti dannosi potrebbero essere stati disponibili nel registro PyPI o quante persone potrebbero averli scaricati.
Crescente esposizione alla catena di approvvigionamento
L'incidente è l'ultimo a evidenziare i crescenti pericoli del download di codice di terze parti da repository pubblici senza un'adeguata verifica.
Proprio la scorsa settimana, Sonatype ha riferito di aver scoperto tre pacchetti contenenti ransomware che un hacker in età scolare in Italia aveva caricato su PyPI come parte di un esperimento. Più di 250 utenti hanno scaricato uno dei pacchetti, 11 dei quali hanno finito per avere file crittografati sul proprio computer. In quel caso, le vittime sono state in grado di ottenere la chiave di decrittazione senza dover pagare un riscatto perché l'hacker aveva apparentemente caricato il malware senza intenzioni dannose.
Tuttavia, ci sono stati numerosi altri casi in cui gli aggressori hanno utilizzato repository di codice pubblici come trampolini di lancio per la distribuzione di malware.
All'inizio di quest'anno, Sonatype ha anche scoperto un pacchetto dannoso per scaricare il kit di attacco Cobalt Strike su PyPI. Di 300 sviluppatori hanno scaricato il malware prima che fosse rimosso. A luglio, i ricercatori di Kaspersky hanno scoperto quattro ladri di informazioni altamente offuscati in agguato sul repository npm ampiamente utilizzato per i programmatori Java.
Gli aggressori hanno iniziato a prendere sempre più di mira questi registri a causa della loro ampia portata. PyPI, ad esempio, è finita 613,000 utenti e il codice del sito è attualmente incorporato in oltre 391,000 progetti in tutto il mondo. Organizzazioni di ogni dimensione e tipo, comprese aziende Fortune 500, editori di software e agenzie governative, utilizzano il codice di repository pubblici per creare il proprio software.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
