Angripere fortsetter å lage falske Python-pakker og bruke rudimentære tilsløringsteknikker i et forsøk på å infisere utviklernes systemer med W4SP Stealer, en trojaner designet for å stjele kryptovalutainformasjon, eksfiltrere sensitive data og samle inn legitimasjon fra utviklerens systemer.
I følge et råd publisert denne uken av programvareleverandørkjedefirmaet Phylum, har en trusselaktør laget 29 kloner av populære programvarepakker på Python Package Index (PyPI), gitt dem godartede navn eller målrettet gitt dem navn som ligner på legitime pakker, en praksis kjent som typosquatting. Hvis en utvikler laster ned og laster de ondsinnede pakkene, installerer oppsettsskriptet også – gjennom en rekke uklare trinn – W4SP Stealer Trojan. Pakkene har stått for 5,700 nedlastinger, sa forskere.
Mens W4SP Stealer retter seg mot kryptovaluta-lommebøker og finansielle kontoer, ser det viktigste målet med de nåværende kampanjene ut til å være utviklerhemmeligheter, sier Louis Lang, medgründer og CTO hos Phylum.
"Det er ikke ulikt phishing-kampanjene vi er vant til å se, men denne gangen retter angriperne seg utelukkende mot utviklere," sier han. "Med tanke på at utviklere ofte har tilgang til kronjuvelene, kan et vellykket angrep være ødeleggende for en organisasjon."
Angrepene på PyPI fra den ukjente aktøren, eller gruppen, er bare de siste truslene mot programvareforsyningskjeden. Programvarekomponenter med åpen kildekode distribuert gjennom depottjenester, som PyPI og Node Package Manager (npm), er en populær vektor for angrep, som antall avhengigheter importert til programvare har vokst dramatisk. Angripere forsøker å bruke økosystemene til å distribuere skadelig programvare til uforsiktige utvikleres systemer, slik det skjedde i et 2020-angrep på Ruby Gems-økosystemet og angriper Docker Hub-bildeøkosystemet. Og i august sikkerhetsforskere ved Check Point Software Technologies funnet 10 PyPI-pakker som droppet skadelig programvare som stjeler informasjon.
I denne siste kampanjen, "er disse pakkene et mer sofistikert forsøk på å levere W4SP Stealer til Python-utviklernes maskiner," Phylum-forskere oppgitt i deres analyse, og legger til: "Ettersom dette er et pågående angrep med stadig skiftende taktikk fra en bestemt angriper, mistenker vi å se mer skadelig programvare som dette dukke opp i nær fremtid."
PyPI Attack er et "tallspill"
Dette angrepet utnytter utviklere som feilaktig skriver inn navnet på en vanlig pakke eller bruker en ny pakke uten å kontrollere kilden til programvaren tilstrekkelig. En ondsinnet pakke, kalt "typesutil," er bare en kopi av den populære Python-pakken "datetime2," med noen få modifikasjoner.
I utgangspunktet ville ethvert program som importerte den skadelige programvaren kjøre en kommando for å laste ned skadelig programvare under oppsettfasen, når Python laster avhengigheter. Men fordi PyPI implementerte visse kontroller, begynte angriperne å bruke mellomrom for å skyve de mistenkelige kommandoene utenfor det normale synlige området for de fleste koderedigerere.
"Angriperen endret litt taktikk, og i stedet for bare å dumpe importen på et åpenbart sted, ble den plassert litt utenfor skjermen, og utnyttet Pythons sjelden brukte semikolon for å snike den ondsinnede koden inn på samme linje som annen legitim kode," sa Phylum i sin analyse.
Mens typosquatting er et low-fidelity-angrep med bare sjeldne suksesser, koster innsatsen angripere lite sammenlignet med den potensielle belønningen, sier Phylum's Lang.
"Det er et tallspill med angripere som forurenser pakkeøkosystemet med disse ondsinnede pakkene på daglig basis," sier han. "Den uheldige virkeligheten er at kostnaden for å distribuere en av disse ondsinnede pakkene er ekstremt lav i forhold til den potensielle belønningen."
En W4SP som svir
Det endelige målet med angrepet er å installere den "informasjonsstjelende trojaneren W4SP Stealer, som teller offerets system, stjeler nettleserlagrede passord, retter seg mot kryptovaluta-lommebøker og søker etter interessante filer ved hjelp av nøkkelord, som "bank" og "hemmelighet". ,'» sier Lang.
"Bortsett fra de åpenbare økonomiske fordelene ved å stjele kryptovaluta eller bankinformasjon, kan noe av den stjålne informasjonen brukes av angriperen for å fremme angrepet ved å gi tilgang til kritisk infrastruktur eller ytterligere utviklerlegitimasjon," sier han.
Phylum har gjort noen fremskritt med å identifisere angriperen og har sendt rapporter til selskapene hvis infrastruktur blir brukt.
