W4SP Stealer atakuje programistów Pythona w ataku na łańcuch dostaw

Atakujący nadal tworzą fałszywe pakiety Pythona i wykorzystują prymitywne techniki zaciemniania, próbując zainfekować systemy programistów za pomocą W4SP Stealer, trojana zaprojektowanego do kradzieży informacji o kryptowalutach, eksfiltracji poufnych danych i zbierania danych uwierzytelniających z systemów programistów.

Według poradnika opublikowanego w tym tygodniu przez firmę Phylum zajmującą się łańcuchem dostaw oprogramowania, cyberprzestępca stworzył 29 klonów popularnych pakietów oprogramowania w Python Package Index (PyPI), nadając im łagodnie brzmiące nazwy lub celowo nadając im nazwy podobne do legalnych pakietów. praktykę znaną jako typosquatting. Jeśli programista pobierze i załaduje złośliwe pakiety, skrypt instalacyjny instaluje również — poprzez szereg zaciemnionych kroków — trojana W4SP Stealer. Według naukowców pakiety stanowiły 5,700 pobrań.

Podczas gdy W4SP Stealer celuje w portfele kryptowalut i konta finansowe, najważniejszym celem obecnych kampanii wydają się być tajemnice programistów, mówi Louis Lang, współzałożyciel i CTO w Phylum.

„Nie różni się to od e-mailowych kampanii phishingowych, do których jesteśmy przyzwyczajeni, tyle że tym razem atakujący biorą na cel wyłącznie programistów” — mówi. „Biorąc pod uwagę, że programiści często mają dostęp do klejnotów koronnych, udany atak może być katastrofalny dla organizacji”.

Ataki na PyPI dokonywane przez nieznanego aktora lub grupę to tylko najnowsze zagrożenia wymierzone w łańcuch dostaw oprogramowania. Komponenty oprogramowania open source dystrybuowane za pośrednictwem usług repozytoriów, takich jak PyPI i Node Package Manager (npm), są popularnym wektorem ataków, ponieważ dramatycznie wzrosła liczba zależności importowanych do oprogramowania. Atakujący próbują wykorzystać ekosystemy do dystrybucji złośliwego oprogramowania do systemów nieostrożnych programistów, jak to miało miejsce w atak 2020 na ekosystem Ruby Gems i ataki na ekosystem obrazów Docker Hub. A w sierpniu badacze bezpieczeństwa w Check Point Software Technologies znaleziono 10 pakietów PyPI które upuściły złośliwe oprogramowanie kradnące informacje. 

W tej ostatniej kampanii „te pakiety są bardziej wyrafinowaną próbą dostarczenia W4SP Stealer na maszyny programistów Pythona”, badacze Phylum stwierdzili w swoich analizach, dodając: „Ponieważ jest to ciągły atak ze stale zmieniającymi się taktykami ze strony zdeterminowanego atakującego, podejrzewamy, że w najbliższej przyszłości pojawi się więcej takiego złośliwego oprogramowania”.

Atak PyPI to „gra liczbowa”

Atak ten wykorzystuje programistów, którzy omyłkowo błędnie wpisują nazwę wspólnego pakietu lub używają nowego pakietu bez odpowiedniego sprawdzenia źródła oprogramowania. Jeden szkodliwy pakiet o nazwie „typesutil” jest po prostu kopią popularnego pakietu Pythona „datetime2” z kilkoma modyfikacjami.

Początkowo każdy program, który zaimportował złośliwe oprogramowanie, uruchamiał polecenie pobrania złośliwego oprogramowania podczas fazy instalacji, gdy Python ładuje zależności. Ponieważ jednak PyPI wdrożyło pewne kontrole, osoby atakujące zaczęły używać białych znaków do wypychania podejrzanych poleceń poza normalny widoczny zakres większości edytorów kodu.

„Atakujący zmienił nieco taktykę i zamiast po prostu zrzucić import w oczywistym miejscu, został umieszczony daleko poza ekranem, wykorzystując rzadko używany średnik w Pythonie, aby przemycić złośliwy kod do tej samej linii, co inny legalny kod” — stwierdził Phylum w swojej analizie.

Podczas gdy typosquatting jest atakiem o niskiej wierności i tylko rzadkimi sukcesami, wysiłek kosztuje atakujących niewiele w porównaniu z potencjalną nagrodą, mówi Phylum's Lang.

„To gra liczbowa, w której atakujący codziennie zanieczyszczają ekosystem pakietów tymi złośliwymi pakietami” — mówi. „Niefortunna rzeczywistość jest taka, że ​​koszt wdrożenia jednego z tych złośliwych pakietów jest niezwykle niski w stosunku do potencjalnej nagrody”.

W4SP, który kłuje

Ostatecznym celem ataku jest zainstalowanie „kradnącego informacje trojana W4SP Stealer, który wylicza system ofiary, kradnie hasła przechowywane w przeglądarce, atakuje portfele kryptowalut i wyszukuje interesujące pliki za pomocą słów kluczowych, takich jak „bank” i „tajne ”, mówi Lang.

„Oprócz oczywistych korzyści pieniężnych związanych z kradzieżą kryptowaluty lub informacji bankowych, niektóre z wykradzionych informacji mogą zostać wykorzystane przez atakującego do dalszego ataku poprzez zapewnienie dostępu do infrastruktury krytycznej lub dodatkowych danych uwierzytelniających programistów” – mówi.

Phylum poczynił pewne postępy w identyfikowaniu atakującego i wysłał raporty do firm, których infrastruktura jest wykorzystywana.