Администраторы индекса пакетов Python (PyPI) удалили 10 пакетов кода вредоносного ПО из реестра после того, как поставщик средств защиты сообщил им об этой проблеме.
Этот инцидент является последним в быстро растущем списке недавних случаев, когда злоумышленники размещали мошенническое программное обеспечение в широко используемых репозиториях программного обеспечения, таких как PyPI, Node Package Manager (npm) и Maven Central, с целью компрометации нескольких организаций. Аналитики безопасности описали эту тенденцию как значительное усиление необходимости для групп разработчиков проявлять должную осмотрительность при загрузке стороннего и открытого исходного кода из общедоступных реестров.
Исследователи Spectralops.io от Check Point обнаружили этот последний набор вредоносных пакетов в PyPI и обнаружили, что они являются дропперами для вредоносных программ, похищающих информацию. Пакеты были разработаны так, чтобы выглядеть как законный код, а в некоторых случаях имитировали другие популярные пакеты в PyPI.
Вредоносный код в сценариях установки
Исследователи Check Point обнаружили, что злоумышленники, разместившие вредоносное ПО в реестре, внедрили в него вредоносный код. скрипт установки пакета. Таким образом, когда разработчик использовал команду установки «pip» для установки любого из мошеннических пакетов, вредоносный код незаметно запускался на компьютере пользователя и устанавливал дроппер вредоносного ПО.
Например, один из поддельных пакетов под названием «Ascii2text» содержал вредоносный код в файле (_init_.py), импортированном сценарием установки (setup.py). Когда разработчик пытался установить пакет, код загружал и выполнял скрипт, который искал локальные пароли, которые затем загружались на сервер Discord. По данным Check Point, вредоносный пакет был разработан так, чтобы выглядеть точно так же, как популярный пакет с тем же именем и описанием.
Три из 10 мошеннических пакетов (Pyg-utils, Pymocks и PyProto2), похоже, были разработаны тем же злоумышленником, который недавно развернул вредоносное ПО для кража учетных данных AWS на ПиПи. В процессе установки setup.py Py-Utils, например, подключился к тому же вредоносному домену, который использовался в кампании по краже учетных данных AWS. Хотя Pymocks и PyProto2 подключались к другому вредоносному домену в процессе установки, их код был почти идентичен коду Pyg-utils, что привело Check Point к выводу, что все три пакета создал один и тот же автор.
Другие пакеты включают вероятный загрузчик вредоносного ПО под названием Test-async, который якобы является пакетом для тестирования кода; один назывался WINRPCexploit за кражу учетных данных пользователя в процессе установки setup.py; и два пакета (Free-net-vpn и Free-net-vpn2) для кражи переменных окружения.
«Очень важно, чтобы разработчики обеспечивали безопасность своих действий, дважды проверяя каждый используемый компонент программного обеспечения, особенно те, которые загружаются из разных репозиториев», — предупреждает Check Point.
Поставщик безопасности не сразу ответил на вопрос, как долго вредоносные пакеты могли быть доступны в реестре PyPI или сколько людей могли их загрузить.
Растущая подверженность цепочке поставок
Этот инцидент является последним, который подчеркивает растущую опасность загрузки стороннего кода из общедоступных репозиториев без надлежащей проверки.
Буквально на прошлой неделе Sonatype сообщила об обнаружении три пакета, содержащие программы-вымогатели который хакер школьного возраста из Италии загрузил в PyPI в рамках эксперимента. Более 250 пользователей загрузили один из пакетов, 11 из которых зашифровали файлы на своих компьютерах. В этом случае жертвы смогли получить ключ дешифрования без необходимости платить выкуп, потому что хакер явно загрузил вредоносное ПО без злого умысла.
Однако было множество других случаев, когда злоумышленники использовали общедоступные репозитории кода в качестве стартовых площадок для распространения вредоносных программ.
Ранее в этом году Sonatype также обнаружила вредоносный пакет для загрузки комплекта атаки Cobalt Strike на PyPI. О 300 разработчиков загрузили вредоносное ПО до того, как его удалили. В июле исследователи из «Лаборатории Касперского» обнаружили четыре сильно запутанных похитителя информации скрывается в широко используемом репозитории npm для Java-программистов.
Злоумышленники все чаще нацеливаются на эти реестры из-за их широкого охвата. Например, у PyPI более пользователи 613,000 и код с сайта в настоящее время встроен в более чем 391,000 500 проектов по всему миру. Организации всех размеров и типов, в том числе фирмы из списка Fortune XNUMX, издатели программного обеспечения и государственные учреждения, используют код из общедоступных репозиториев для создания собственного программного обеспечения.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
