התוקפים ממשיכים ליצור חבילות Python מזויפות ולהשתמש בטכניקות ערפול ראשוניות בניסיון להדביק את מערכות המפתחים ב-W4SP Stealer, טרויאני שנועד לגנוב מידע על מטבעות קריפטוגרפיים, לחלץ נתונים רגישים ולאסוף אישורים ממערכות של מפתחים.
על פי ייעוץ שפורסם השבוע על ידי חברת שרשרת אספקת התוכנה Phylum, שחקן איומים יצר 29 שיבוטים של חבילות תוכנה פופולריות ב-Python Package Index (PyPI), נותן להם שמות שנשמעים שפיר או נותן להם בכוונה שמות הדומים לחבילות לגיטימיות, תרגול המכונה שגיאות הדפסה. אם מפתח מוריד וטוען את החבילות הזדוניות, סקריפט ההתקנה גם מתקין - באמצעות מספר שלבים מעורפלים - את ה-W4SP Stealer Trojan. החבילות היוו 5,700 הורדות, אמרו החוקרים.
בעוד ש-W4SP Stealer מתמקד בארנקי מטבעות קריפטוגרפיים וחשבונות פיננסיים, נראה שהמטרה המשמעותית ביותר של הקמפיינים הנוכחיים היא סודות המפתחים, אומר לואי לאנג, מייסד שותף ו-CTO ב-Phylum.
"זה לא דומה לקמפיינים של דיוג בדוא"ל שאנחנו רגילים לראות, רק שהפעם התוקפים מכוונים למפתחים בלבד", הוא אומר. "בהתחשב במפתחים לעתים קרובות יש גישה ליהלומי הכתר, התקפה מוצלחת יכולה להיות הרסנית עבור ארגון."
ההתקפות על PyPI על ידי השחקן, או הקבוצה הלא ידועים, הן רק האיומים האחרונים לכוון את שרשרת האספקה של התוכנה. רכיבי תוכנה בקוד פתוח המופצים באמצעות שירותי מאגר, כגון PyPI ו-Node Package Manager (npm), הם וקטור פופולרי של התקפות, כמו מספר התלות המיובאים לתוכנה גדל באופן דרמטי. תוקפים מנסים להשתמש במערכות האקולוגיות כדי להפיץ תוכנות זדוניות למערכות של מפתחים לא זהירים, כפי שקרה ב מתקפה ב-2020 על המערכת האקולוגית של Ruby Gems ומתקפות על מערכת האקולוגית של התמונה של Docker Hub. ובאוגוסט, חוקרי אבטחה ב-Check Point Software Technologies נמצאו 10 חבילות PyPI שהפיל תוכנה זדונית גניבת מידע.
בקמפיין האחרון הזה, "החבילות הללו הן ניסיון מתוחכם יותר להעביר את ה-W4SP Stealer למכונות של מפתחי Python", חוקרי Phylum ציינו בניתוח שלהם, והוסיפו: "מכיוון שזו מתקפה מתמשכת עם טקטיקות המשתנות כל הזמן מתוקף נחוש, אנו חושדים לראות יותר תוכנות זדוניות כמו זו צצות בעתיד הקרוב."
PyPI Attack הוא "משחק מספרים"
ההתקפה הזו מנצלת מפתחים שמקלידים בטעות את השם של חבילה נפוצה או משתמשים בחבילה חדשה מבלי לבדוק כראוי את מקור התוכנה. חבילה זדונית אחת, בשם "typesutil", היא רק עותק של חבילת Python הפופולרית "datetime2", עם כמה שינויים.
בתחילה, כל תוכנה שייבאה את התוכנה הזדונית תפעיל פקודה להורדת תוכנות זדוניות בשלב ההתקנה, כאשר Python טוענת תלות. עם זאת, מכיוון ש- PyPI יישם בדיקות מסוימות, התוקפים החלו להשתמש ברווח לבן כדי לדחוף את הפקודות החשודות מחוץ לטווח הניתן לצפייה הרגיל של רוב עורכי הקוד.
"התוקף שינה מעט את הטקטיקה, ובמקום פשוט לזרוק את הייבוא במקום ברור, הוא הונח קצת מחוץ למסך, תוך ניצול הנקודה-פסיק של Python המשמשת לעתים רחוקות כדי להגניב את הקוד הזדוני לאותה קו כמו קוד לגיטימי אחר", אמר Phylum. בניתוח שלה.
בעוד שטיפוס הקלדה הוא התקפת נאמנות נמוכה עם הצלחות נדירות בלבד, המאמץ עולה לתוקפים מעט בהשוואה לתגמול הפוטנציאלי, אומר לאנג של Phylum.
"זה משחק מספרים עם תוקפים שמזהמים את המערכת האקולוגית של החבילות עם החבילות הזדוניות האלה על בסיס יומי", הוא אומר. "המציאות המצערת היא שהעלות לפריסת אחת מהחבילות הזדוניות הללו נמוכה ביותר ביחס לתגמול הפוטנציאלי."
W4SP שעוקץ
המטרה הסופית של המתקפה היא להתקין את "גנבת המידע הטרויאנית W4SP Stealer, המונה את המערכת של הקורבן, גונבת סיסמאות מאוחסנות בדפדפן, מכוונת לארנקים של מטבעות קריפטוגרפיים ומחפשת קבצים מעניינים באמצעות מילות מפתח, כגון 'בנק' ו'סוד'. ," אומר לאנג.
"מלבד התגמולים הכספיים הברורים של גניבת מטבעות קריפטוגרפיים או מידע בנקאי, חלק מהמידע שנגנב יכול לשמש את התוקף כדי לקדם את ההתקפה שלו על ידי מתן גישה לתשתית קריטית או אישורי מפתח נוספים", הוא אומר.
Phylum התקדמה מסוימת בזיהוי התוקף ושלחה דוחות לחברות שהשימוש בתשתית שלהן.
