Aanvallers blijven valse Python-pakketten maken en rudimentaire verduisteringstechnieken gebruiken in een poging de systemen van ontwikkelaars te infecteren met de W4SP Stealer, een Trojaans paard dat is ontworpen om cryptocurrency-informatie te stelen, gevoelige gegevens te exfiltreren en inloggegevens van de systemen van ontwikkelaars te verzamelen.
Volgens een advies dat deze week is gepubliceerd door softwareleverancier Phylum heeft een bedreigingsacteur 29 klonen van populaire softwarepakketten op Python Package Index (PyPI) gemaakt, waarbij hij ze goedaardig klinkende namen heeft gegeven of ze doelbewust namen heeft gegeven die lijken op legitieme pakketten. praktijk die bekend staat als typosquatting. Als een ontwikkelaar de kwaadaardige pakketten downloadt en laadt, installeert het installatiescript ook – via een aantal onduidelijke stappen – de W4SP Stealer Trojan. De pakketten zijn goed voor 5,700 downloads, aldus onderzoekers.
Terwijl W4SP Stealer zich richt op cryptocurrency-portefeuilles en financiële accounts, lijkt het belangrijkste doel van de huidige campagnes ontwikkelaarsgeheimen te zijn, zegt Louis Lang, mede-oprichter en CTO bij Phylum.
"Het lijkt op de e-mailphishing-campagnes die we gewend zijn, maar deze keer richten aanvallers zich uitsluitend op ontwikkelaars", zegt hij. “Aangezien ontwikkelaars vaak toegang hebben tot de kroonjuwelen, kan een succesvolle aanval verwoestend zijn voor een organisatie.”
De aanvallen op PyPI door de onbekende actor of groep zijn slechts de nieuwste bedreigingen voor de softwaretoeleveringsketen. Open source-softwarecomponenten die worden gedistribueerd via repositoryservices, zoals PyPI en de Node Package Manager (npm), zijn een populaire aanvalsvector, omdat het aantal in software geïmporteerde afhankelijkheden is dramatisch toegenomen. Aanvallers proberen de ecosystemen te gebruiken om malware te verspreiden naar de systemen van onoplettende ontwikkelaars, zoals gebeurde in een aanval uit 2020 op het Ruby Gems-ecosysteem en aanvallen op het Docker Hub-image-ecosysteem. En in augustus beveiligingsonderzoekers van Check Point Software Technologies 10 PyPI-pakketten gevonden die informatiestelende malware liet vallen.
In deze nieuwste campagne "zijn deze pakketten een meer geavanceerde poging om de W4SP Stealer op de machines van Python-ontwikkelaars te leveren", aldus Phylum-onderzoekers. vermeld in hun analyse, en voegt eraan toe: “Aangezien dit een voortdurende aanval is met voortdurend veranderende tactieken van een vastberaden aanvaller, vermoeden we dat er in de nabije toekomst meer van dit soort malware zal opduiken.”
PyPI-aanval is een ‘getallenspel’
Deze aanval maakt gebruik van ontwikkelaars die per ongeluk de naam van een veelgebruikt pakket verkeerd typen of een nieuw pakket gebruiken zonder de bron van de software adequaat te controleren. Eén kwaadaardig pakket, genaamd “typesutil”, is slechts een kopie van het populaire Python-pakket “datetime2”, met een paar aanpassingen.
In eerste instantie zou elk programma dat de schadelijke software importeerde een opdracht uitvoeren om malware te downloaden tijdens de installatiefase, wanneer Python afhankelijkheden laadt. Omdat PyPI echter bepaalde controles implementeerde, begonnen de aanvallers witruimte te gebruiken om de verdachte opdrachten buiten het normale zichtbare bereik van de meeste code-editors te duwen.
"De aanvaller veranderde enigszins van tactiek, en in plaats van de import gewoon op een voor de hand liggende plek te dumpen, werd deze buiten het scherm geplaatst, waarbij gebruik werd gemaakt van de zelden gebruikte puntkomma van Python om de kwaadaardige code op dezelfde regel te sluipen als andere legitieme code", aldus Phylum. in zijn analyse.
Hoewel typosquatting een low-fidelity-aanval is met slechts zeldzame successen, kost de inspanning aanvallers weinig vergeleken met de potentiële beloning, zegt Phylum's Lang.
"Het is een getallenspel waarbij aanvallers dagelijks het ecosysteem van pakketten vervuilen met deze kwaadaardige pakketten", zegt hij. “De ongelukkige realiteit is dat de kosten voor het inzetten van een van deze kwaadaardige pakketten extreem laag zijn in verhouding tot de potentiële beloning.”
Een W4SP die prikt
Het uiteindelijke doel van de aanval is het installeren van de ‘informatiestelende Trojan W4SP Stealer’, die het systeem van het slachtoffer opsomt, in de browser opgeslagen wachtwoorden steelt, zich richt op portemonnees voor cryptocurrency en zoekt naar interessante bestanden met behulp van trefwoorden als ‘bank’ en ‘geheim’. ”, zegt Lang.
“Afgezien van de voor de hand liggende geldelijke beloningen van het stelen van cryptocurrency of bankgegevens, kan een deel van de gestolen informatie door de aanvaller worden gebruikt om zijn aanval te bevorderen door toegang te geven tot kritieke infrastructuur of aanvullende ontwikkelaarsreferenties”, zegt hij.
Phylum heeft enige vooruitgang geboekt bij het identificeren van de aanvaller en heeft rapporten gestuurd naar de bedrijven waarvan de infrastructuur wordt gebruikt.
