Administratorzy indeksu Python Package Index (PyPI) usunęli z rejestru 10 pakietów złośliwego oprogramowania po tym, jak dostawca zabezpieczeń poinformował ich o problemie.
Incydent jest ostatnim na szybko rosnącej liście ostatnich przypadków, w których cyberprzestępcy umieścili nieuczciwe oprogramowanie w powszechnie używanych repozytoriach oprogramowania, takich jak PyPI, Node Package Manager (npm) i Maven Central, w celu narażenia na szwank wielu organizacji. Analitycy bezpieczeństwa opisali ten trend jako znacznie zwiększający potrzebę zachowania należytej staranności przez zespoły programistów podczas pobierania kodu stron trzecich i kodu open source z rejestrów publicznych.
Badacze z firmy Check Point Spectralops.io odkryli ten najnowszy zestaw złośliwych pakietów na PyPI i stwierdzili, że są one dropperami złośliwego oprogramowania kradnącego informacje. Pakiety zostały zaprojektowane tak, aby wyglądały jak prawdziwy kod — iw niektórych przypadkach naśladowały inne popularne pakiety w PyPI.
Złośliwy kod w skryptach instalacyjnych
Badacze z Check Point odkryli, że cyberprzestępcy, którzy umieścili złośliwe oprogramowanie w rejestrze, osadzili złośliwy kod w skrypt instalacyjny pakietu. Tak więc, gdy programista użyje polecenia instalacji „pip” w celu zainstalowania dowolnego z nieuczciwych pakietów, złośliwy kod uruchomi się niezauważony na komputerze użytkownika i zainstaluje dropper złośliwego oprogramowania.
Na przykład jeden z fałszywych pakietów, o nazwie „Ascii2text”, zawierał szkodliwy kod w pliku (_init_.py) zaimportowanym przez skrypt instalacyjny (setup.py). Gdy programista próbował zainstalować pakiet, kod pobierał i uruchamiał skrypt wyszukujący lokalne hasła, które następnie przesyłał na serwer Discord. Według firmy Check Point złośliwy pakiet został zaprojektowany tak, aby wyglądał dokładnie tak, jak popularny pakiet artystyczny o tej samej nazwie i opisie.
Wydaje się, że trzy z 10 nieuczciwych pakietów (Pyg-utils, Pymocks i PyProto2) zostały opracowane przez tego samego cyberprzestępcę, który niedawno wdrożył złośliwe oprogramowanie kradzież danych logowania do AWS na PyPI. Podczas procesu instalacji setup.py, Py-Utils połączył się na przykład z tą samą złośliwą domeną, która została użyta w kampanii kradzieży poświadczeń AWS. Chociaż Pymocks i PyProto2 łączyły się z inną złośliwą domeną podczas procesu instalacji, ich kod był prawie identyczny z Pyg-utils, co skłoniło Check Point do przekonania, że ten sam autor stworzył wszystkie trzy pakiety.
Inne pakiety zawierają prawdopodobnie narzędzie do pobierania złośliwego oprogramowania o nazwie Test-async, które rzekomo jest pakietem do testowania kodu; jeden o nazwie WINRPCexploit do kradzieży danych uwierzytelniających użytkownika podczas procesu instalacji setup.py; oraz dwa pakiety (Free-net-vpn i Free-net-vpn2) do kradzieży zmiennych środowiskowych.
„Konieczne jest, aby programiści dbali o bezpieczeństwo swoich działań, dwukrotnie sprawdzając każdy używany składnik oprogramowania, a zwłaszcza ten, który jest pobierany z różnych repozytoriów”, ostrzega Check Point.
Dostawca zabezpieczeń nie odpowiedział od razu na pytanie, jak długo złośliwe pakiety mogły być dostępne w rejestrze PyPI lub ile osób mogło je pobrać.
Rosnąca ekspozycja łańcucha dostaw
Incydent jest ostatnim, który podkreśla rosnące niebezpieczeństwa związane z pobieraniem kodu stron trzecich z publicznych repozytoriów bez odpowiedniej weryfikacji.
Zaledwie w zeszłym tygodniu firma Sonatype poinformowała o odkryciu trzy pakiety zawierające oprogramowanie ransomware które haker w wieku szkolnym we Włoszech przesłał do PyPI w ramach eksperymentu. Ponad 250 użytkowników pobrało jeden z pakietów, z których 11 miało zaszyfrowane pliki na swoim komputerze. W tym przypadku ofiary mogły uzyskać klucz odszyfrowujący bez konieczności płacenia okupu, ponieważ haker najwyraźniej przesłał złośliwe oprogramowanie bez złośliwych zamiarów.
Jednak było wiele innych przypadków, w których osoby atakujące wykorzystywały publiczne repozytoria kodu jako platformy do uruchamiania dystrybucji złośliwego oprogramowania.
Na początku tego roku firma Sonatype odkryła również złośliwy pakiet służący do pobierania zestawu do ataku Cobalt Strike na PyPI. O 300 programistów pobrało złośliwe oprogramowanie zanim został usunięty. W lipcu badacze z Kaspersky odkryli czterech wysoce zaciemnionych złodziei informacji czai się w powszechnie używanym repozytorium npm dla programistów Java.
Atakujący zaczęli coraz częściej atakować te rejestry ze względu na ich szeroki zasięg. Na przykład PyPI ma ponad użytkownicy 613,000 a kod ze strony jest obecnie osadzony w ponad 391,000 500 projektach na całym świecie. Organizacje wszystkich rozmiarów i typów — w tym firmy z listy Fortune XNUMX, wydawcy oprogramowania i agencje rządowe — używają kodu z publicznych repozytoriów do tworzenia własnego oprogramowania.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
