Atacatorii continuă să creeze pachete false Python și să folosească tehnici rudimentare de ofuscare în încercarea de a infecta sistemele dezvoltatorilor cu W4SP Stealer, un troian conceput pentru a fura informații despre criptomonede, pentru a exfiltra date sensibile și pentru a colecta acreditări de la sistemele dezvoltatorilor.
Potrivit unui aviz publicat săptămâna aceasta de firma Phylum din lanțul de aprovizionare cu software, un actor de amenințări a creat 29 de clone de pachete software populare pe Python Package Index (PyPI), dându-le nume care sună bine sau dându-le intenționat nume similare pachetelor legitime, un practică cunoscută sub numele de typosquatting. Dacă un dezvoltator descarcă și încarcă pachetele rău intenționate, scriptul de instalare instalează, de asemenea, printr-un număr de pași ofuscați, troianul W4SP Stealer. Pachetele au reprezentat 5,700 de descărcări, au spus cercetătorii.
În timp ce W4SP Stealer vizează portofelele criptomonede și conturile financiare, cel mai important obiectiv al campaniilor actuale pare să fie secretele dezvoltatorilor, spune Louis Lang, co-fondator și CTO la Phylum.
„Nu este diferit de campaniile de phishing prin e-mail pe care suntem obișnuiți să le vedem, doar că de data aceasta atacatorii vizează exclusiv dezvoltatorii”, spune el. „Având în vedere că dezvoltatorii dețin adesea acces la bijuteriile coroanei, un atac de succes poate fi devastator pentru o organizație.”
Atacurile asupra PyPI ale unui actor sau grup necunoscut sunt doar cele mai recente amenințări care vizează lanțul de aprovizionare cu software. Componentele software cu sursă deschisă distribuite prin servicii de depozit, cum ar fi PyPI și Node Package Manager (npm), sunt un vector popular de atacuri, ca numărul de dependențe importate în software a crescut dramatic. Atacatorii încearcă să folosească ecosistemele pentru a distribui malware către sistemele dezvoltatorilor neprudenți, așa cum sa întâmplat în un atac din 2020 asupra ecosistemului Ruby Gems si atacuri asupra ecosistemul de imagini Docker Hub. Și în august, cercetătorii de securitate de la Check Point Software Technologies a găsit 10 pachete PyPI care a eliminat malware-ul de furt de informații.
În această ultimă campanie, „aceste pachete sunt o încercare mai sofisticată de a livra W4SP Stealer pe mașinile dezvoltatorilor Python”, cercetătorii Phylum. precizate în analiza lor, adăugând: „Deoarece acesta este un atac în curs de desfășurare cu tactici în schimbare constantă de la un atacator hotărât, bănuim că vom vedea mai multe programe malware ca acesta să apară în viitorul apropiat.”
Atacul PyPI este un „joc de numere”
Acest atac profită de dezvoltatorii care introduc greșit numele unui pachet comun sau folosesc un pachet nou fără a verifica în mod adecvat sursa software-ului. Un pachet rău intenționat, numit „typesutil”, este doar o copie a pachetului popular Python „datetime2”, cu câteva modificări.
Inițial, orice program care a importat software-ul rău intenționat ar rula o comandă pentru a descărca malware în timpul fazei de configurare, când Python încarcă dependențe. Cu toate acestea, deoarece PyPI a implementat anumite verificări, atacatorii au început să folosească spații albe pentru a împinge comenzile suspecte în afara intervalului normal de vizualizare al majorității editorilor de cod.
„Atacatorul și-a schimbat ușor tactica și, în loc să arunce importul într-un loc evident, a fost plasat foarte mult în afara ecranului, profitând de punctul și virgulă rar folosit de Python pentru a strecura codul rău intenționat pe aceeași linie cu alt cod legitim”, a declarat Phylum. în analiza sa.
În timp ce typosquatting este un atac cu fidelitate scăzută, cu succese rare, efortul îi costă puțin pe atacatori în comparație cu potențiala recompensă, spune Phylum's Lang.
„Este un joc de cifre în care atacatorii poluează zilnic ecosistemul de pachete cu aceste pachete rău intenționate”, spune el. „Realitatea nefericită este că costul implementării unuia dintre aceste pachete rău intenționate este extrem de scăzut în raport cu recompensa potențială.”
Un W4SP care ustură
Scopul final al atacului este de a instala „troianul W4SP Stealer, care fură informații, care enumeră sistemul victimei, fură parolele stocate în browser, țintește portofelele criptomonede și caută fișiere interesante folosind cuvinte cheie, cum ar fi „bancă” și „secret”. ”, spune Lang.
„În afară de recompensele monetare evidente ale furtului de criptomonede sau informații bancare, unele dintre informațiile furate ar putea fi folosite de atacator pentru a-și continua atacul, oferind acces la infrastructura critică sau acreditări suplimentare pentru dezvoltatori”, spune el.
Phylum a făcut unele progrese în identificarea atacatorului și a trimis rapoarte companiilor a căror infrastructură este utilizată.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
