Beheerders van de Python Package Index (PyPI) hebben 10 kwaadaardige softwarecodepakketten uit het register verwijderd nadat een beveiligingsleverancier hen over het probleem had geïnformeerd.
Het incident is het laatste in een snelgroeiende lijst van recente gevallen waarin criminelen malafide software hebben geplaatst op veelgebruikte softwarebronnen zoals PyPI, Node Package Manager (npm) en Maven Central, met als doel meerdere organisaties in gevaar te brengen. Beveiligingsanalisten hebben de trend beschreven als een significante toename van de noodzaak voor ontwikkelingsteams om due diligence te betrachten bij het downloaden van code van derden en open source uit openbare registers.
Onderzoekers van Spectralops.io van Check Point ontdekten deze nieuwste set kwaadaardige pakketten op PyPI en ontdekten dat ze droppers waren voor informatie-stelende malware. De pakketten zijn ontworpen om eruit te zien als legitieme code - en in sommige gevallen bootsten ze andere populaire pakketten na op PyPI.
Schadelijke code in installatiescripts
Check Point-onderzoekers ontdekten dat de dreigingsactoren die de malware in het register hadden geplaatst, kwaadaardige code hadden ingesloten in de pakket installatie script. Dus wanneer een ontwikkelaar het "pip" install-commando gebruikte om een van de frauduleuze pakketten te installeren, zou de kwaadaardige code onopgemerkt op de computer van de gebruiker draaien en de malware-dropper installeren.
Een van de valse pakketten, genaamd "Ascii2text", bevatte bijvoorbeeld kwaadaardige code in een bestand (_init_.py) dat werd geïmporteerd door het installatiescript (setup.py). Wanneer een ontwikkelaar probeerde het pakket te installeren, downloadde en voerde de code een script uit dat zocht naar lokale wachtwoorden, die het vervolgens uploadde naar een Discord-server. Het kwaadaardige pakket is ontworpen om er precies zo uit te zien als een populair kunstpakket met dezelfde naam en beschrijving, volgens Check Point.
Drie van de 10 malafide pakketten (Pyg-utils, Pymocks en PyProto2) lijken te zijn ontwikkeld door dezelfde dreigingsactor die onlangs malware heeft ingezet voor AWS-inloggegevens stelen op PyPI. Tijdens het installatieproces van setup.py maakte Py-Utils bijvoorbeeld verbinding met hetzelfde kwaadaardige domein als het domein dat werd gebruikt in de AWS-campagne voor het stelen van inloggegevens. Hoewel Pymocks en PyProto2 tijdens het installatieproces verbinding maakten met een ander kwaadaardig domein, was hun code vrijwel identiek aan Pyg-utils, waardoor Check Point geloofde dat dezelfde auteur alle drie de pakketten had gemaakt.
De andere pakketten bevatten waarschijnlijk een malware-downloader genaamd Test-async die beweerde een pakket te zijn voor het testen van code; een genaamd WINRPCexploit voor het stelen van gebruikersreferenties tijdens het installatieproces van setup.py; en twee pakketten (Free-net-vpn en Free-net-vpn2) voor het stelen van omgevingsvariabelen.
"Het is essentieel dat ontwikkelaars hun acties veilig houden en elk software-ingrediënt dat in gebruik is, en vooral datgene dat wordt gedownload van verschillende repositories, dubbel controleren", waarschuwt Check Point.
De beveiligingsleverancier reageerde niet onmiddellijk op de vraag hoe lang de kwaadaardige pakketten mogelijk beschikbaar waren in het PyPI-register of hoeveel mensen ze zouden hebben gedownload.
Toenemende blootstelling aan de toeleveringsketen
Het incident is het laatste om de groeiende gevaren van het downloaden van code van derden uit openbare opslagplaatsen te benadrukken zonder de juiste controle.
Vorige week nog meldde Sonatype het te hebben ontdekt drie pakketten met ransomware die een schoolgaande hacker in Italië als onderdeel van een experiment naar PyPI had geüpload. Meer dan 250 gebruikers hebben een van de pakketten gedownload, van wie er 11 bestanden versleuteld op hun computer hadden staan. In dat geval konden de slachtoffers de decoderingssleutel krijgen zonder losgeld te betalen, omdat de hacker de malware blijkbaar had geüpload zonder kwade bedoelingen.
Er zijn echter talloze andere gevallen geweest waarin aanvallers openbare coderepositories hebben gebruikt als lanceerplatforms voor malwaredistributie.
Eerder dit jaar ontdekte Sonatype ook een kwaadaardig pakket voor het downloaden van de Cobalt Strike-aanvalskit op PyPI. Over 300 ontwikkelaars hebben de malware gedownload voordat het werd verwijderd. In juli ontdekten onderzoekers van Kaspersky vier zeer versluierde informatiestelers op de loer op de veelgebruikte npm-repository voor Java-programmeurs.
Aanvallers richten zich steeds meer op deze registers vanwege hun grote bereik. PyPI heeft bijvoorbeeld meer dan 613,000 gebruikers en code van de site is momenteel ingebed in meer dan 391,000 projecten wereldwijd. Organisaties van alle soorten en maten, waaronder Fortune 500-bedrijven, software-uitgevers en overheidsinstanties, gebruiken code uit openbare repositories om hun eigen software te bouwen.
