Administratorer av Python Package Index (PyPI) har fjernet 10 ondsinnede programvarekodepakker fra registeret etter at en sikkerhetsleverandør informerte dem om problemet.
Hendelsen er den siste i en raskt voksende liste over nylige tilfeller der trusselaktører har plassert useriøs programvare på mye brukte programvarelager som PyPI, Node Package Manager (npm) og Maven Central, med mål om å kompromittere flere organisasjoner. Sikkerhetsanalytikere har beskrevet trenden som betydelig øker behovet for utviklingsteam til å utøve due diligence når de laster ned tredjeparts og åpen kildekode fra offentlige registre.
Forskere ved Check Points Spectralops.io avdekket dette siste settet med ondsinnede pakker på PyPI, og fant ut at de var droppere for skadelig programvare som stjeler informasjon. Pakkene ble designet for å se ut som legitim kode - og i noen tilfeller etterlignet andre populære pakker på PyPI.
Skadelig kode i installasjonsskript
Check Point-forskere oppdaget at trusselaktørene som hadde plassert skadevaren i registeret hadde innebygd skadelig kode i pakkeinstallasjonsskript. Så når en utvikler brukte installasjonskommandoen "pip" for å installere noen av de useriøse pakkene, ville den ondsinnede koden kjøre ubemerket på brukerens maskin og installere skadelig programvare.
For eksempel inneholdt en av de falske pakkene, kalt "Ascii2text", ondsinnet kode i en fil (_init_.py) importert av installasjonsskriptet (setup.py). Når en utvikler forsøkte å installere pakken, ville koden laste ned og kjøre et skript som søkte etter lokale passord, som den deretter lastet opp til en Discord-server. Den ondsinnede pakken ble designet for å se nøyaktig ut som en populær kunstpakke med samme navn og beskrivelse, ifølge Check Point.
Tre av de 10 useriøse pakkene (Pyg-utils, Pymocks og PyProto2) ser ut til å ha blitt utviklet av den samme trusselaktøren som nylig distribuerte skadevare for stjele AWS-legitimasjon på PyPI. Under installasjonsprosessen for setup.py koblet Py-Utils for eksempel til det samme ondsinnede domenet som det som ble brukt i AWS-kampanjen for å stjele legitimasjon. Selv om Pymocks og PyProto2 koblet til et annet ondsinnet domene under installasjonsprosessen, var koden deres nesten identisk med Pyg-utils, noe som førte til at Check Point trodde at den samme forfatteren hadde laget alle tre pakkene.
De andre pakkene inkluderer en sannsynligvis skadelig programvare-nedlaster kalt Test-async som påstod å være en pakke for testing av kode; en kalt WINRPCexploit for å stjele brukerlegitimasjon under installasjonsprosessen for setup.py; og to pakker (Free-net-vpn og Free-net-vpn2) for å stjele miljøvariabler.
"Det er viktig at utviklere holder handlingene sine trygge, dobbeltsjekker alle programvareingredienser som er i bruk og spesielt slike som blir lastet ned fra forskjellige depoter," advarer Check Point.
Sikkerhetsleverandøren svarte ikke umiddelbart på spørsmål om hvor lenge de skadelige pakkene kan ha vært tilgjengelige i PyPI-registeret eller hvor mange personer som kan ha lastet dem ned.
Økende forsyningskjedeeksponering
Hendelsen er den siste som fremhever de økende farene ved å laste ned tredjepartskode fra offentlige depoter uten skikkelig kontroll.
Bare forrige uke rapporterte Sonatype å oppdage tre pakker som inneholder løsepengevare som en hacker i skolealder i Italia hadde lastet opp til PyPI som en del av et eksperiment. Mer enn 250 brukere lastet ned en av pakkene, 11 av dem endte opp med å ha filer kryptert på datamaskinen. I det tilfellet var ofrene i stand til å få dekrypteringsnøkkelen uten å måtte betale løsepenger fordi hackeren tilsynelatende hadde lastet opp skadelig programvare uten ondsinnet hensikt.
Imidlertid har det vært mange andre tilfeller der angripere har brukt offentlige kodelagre som oppstartsramper for distribusjon av skadelig programvare.
Tidligere i år oppdaget Sonatype også en ondsinnet pakke for nedlasting av Cobalt Strike-angrepssettet på PyPI. Om 300 utviklere lastet ned skadelig programvare før den ble fjernet. I juli oppdaget forskere fra Kaspersky fire svært uklare informasjonstyvere lurer på det mye brukte npm-lageret for Java-programmerere.
Angripere har i økende grad begynt å målrette mot disse registrene på grunn av deres brede rekkevidde. PyPI, for eksempel, har over 613,000 brukere og kode fra nettstedet er for tiden innebygd i mer enn 391,000 500 prosjekter over hele verden. Organisasjoner av alle størrelser og typer – inkludert Fortune XNUMX-firmaer, programvareutgivere og offentlige etater – bruker kode fra offentlige depoter for å bygge sin egen programvare.
