Gli aggressori continuano a creare falsi pacchetti Python e utilizzano rudimentali tecniche di offuscamento nel tentativo di infettare i sistemi degli sviluppatori con W4SP Stealer, un trojan progettato per rubare informazioni sulle criptovalute, esfiltrare dati sensibili e raccogliere credenziali dai sistemi degli sviluppatori.
Secondo un avviso pubblicato questa settimana dalla società di supply chain software Phylum, un attore di minacce ha creato 29 cloni di pacchetti software popolari su Python Package Index (PyPI), dando loro nomi che suonano innocui o assegnando loro intenzionalmente nomi simili a pacchetti legittimi, un pratica nota come typosquatting. Se uno sviluppatore scarica e carica i pacchetti dannosi, lo script di installazione installa anche, attraverso una serie di passaggi offuscati, il trojan W4SP Stealer. I pacchetti hanno rappresentato 5,700 download, hanno detto i ricercatori.
Mentre W4SP Stealer prende di mira portafogli di criptovaluta e conti finanziari, l'obiettivo più significativo delle attuali campagne sembra essere i segreti degli sviluppatori, afferma Louis Lang, co-fondatore e CTO di Phylum.
"Non è diverso dalle campagne di phishing via e-mail che siamo abituati a vedere, solo che questa volta gli aggressori prendono di mira esclusivamente gli sviluppatori", afferma. "Considerando che gli sviluppatori spesso detengono l'accesso ai gioielli della corona, un attacco riuscito può essere devastante per un'organizzazione".
Gli attacchi a PyPI da parte di un attore o gruppo sconosciuto sono solo le ultime minacce per prendere di mira la catena di fornitura del software. I componenti software open source distribuiti tramite servizi di repository, come PyPI e Node Package Manager (npm), sono un popolare vettore di attacchi, come il numero di dipendenze importate nel software è cresciuto notevolmente. Gli aggressori tentano di utilizzare gli ecosistemi per distribuire malware ai sistemi degli sviluppatori incauti, come è accaduto in un attacco del 2020 all'ecosistema Ruby Gems e attacchi su l'ecosistema di immagini di Docker Hub. E ad agosto, i ricercatori di sicurezza di Check Point Software Technologies trovato 10 pacchetti PyPI che ha rilasciato malware per il furto di informazioni.
In quest'ultima campagna, "questi pacchetti sono un tentativo più sofisticato di consegnare W4SP Stealer alle macchine degli sviluppatori Python", i ricercatori di Phylum dichiarato nella loro analisi, aggiungendo: "Poiché si tratta di un attacco in corso con tattiche in costante cambiamento da parte di un determinato aggressore, sospettiamo di vedere altri malware come questo spuntare nel prossimo futuro".
PyPI Attack è un "gioco di numeri"
Tale attacco sfrutta gli sviluppatori che digitano erroneamente il nome di un pacchetto comune o utilizzano un nuovo pacchetto senza controllare adeguatamente la fonte del software. Un pacchetto dannoso, denominato "typesutil", è solo una copia del popolare pacchetto Python "datetime2", con alcune modifiche.
Inizialmente, qualsiasi programma che ha importato il software dannoso esegue un comando per scaricare il malware durante la fase di installazione, quando Python carica le dipendenze. Tuttavia, poiché PyPI ha implementato determinati controlli, gli aggressori hanno iniziato a utilizzare gli spazi bianchi per spingere i comandi sospetti al di fuori del normale intervallo visualizzabile della maggior parte degli editor di codice.
"L'aggressore ha cambiato leggermente tattica e, invece di limitarsi a scaricare l'importazione in un punto ovvio, è stata posizionata mooolto fuori dallo schermo, approfittando del punto e virgola raramente utilizzato da Python per intrufolarsi con il codice dannoso sulla stessa riga di altro codice legittimo", ha dichiarato Phylum. nella sua analisi.
Sebbene il typosquatting sia un attacco a bassa fedeltà con solo rari successi, lo sforzo costa poco agli aggressori rispetto alla potenziale ricompensa, afferma Lang di Phylum.
"È un gioco di numeri con gli aggressori che inquinano quotidianamente l'ecosistema dei pacchetti con questi pacchetti dannosi", afferma. "La sfortunata realtà è che il costo per implementare uno di questi pacchetti dannosi è estremamente basso rispetto alla potenziale ricompensa."
Un W4SP che punge
L'obiettivo finale dell'attacco è installare il "Trojan W4SP Stealer che ruba informazioni, che enumera il sistema della vittima, ruba le password memorizzate nel browser, prende di mira i portafogli di criptovaluta e cerca file interessanti utilizzando parole chiave come "banca" e "segreto". ,'”, dice Lang.
"A parte le ovvie ricompense monetarie derivanti dal furto di criptovalute o informazioni bancarie, alcune delle informazioni rubate potrebbero essere utilizzate dall'attaccante per promuovere il proprio attacco dando accesso a infrastrutture critiche o credenziali di sviluppatore aggiuntive", afferma.
Phylum ha compiuto alcuni progressi nell'identificazione dell'aggressore e ha inviato rapporti alle società la cui infrastruttura viene utilizzata.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
