Злоумышленники продолжают создавать поддельные пакеты Python и использовать элементарные методы запутывания, пытаясь заразить системы разработчиков с помощью W4SP Stealer, троянца, предназначенного для кражи информации о криптовалюте, эксфильтрации конфиденциальных данных и сбора учетных данных из систем разработчиков.
Согласно бюллетеню, опубликованному на этой неделе компанией Phylum, занимающейся цепочкой поставок программного обеспечения, злоумышленник создал 29 клонов популярных программных пакетов в Python Package Index (PyPI), дав им благозвучно звучащие имена или намеренно дав им имена, похожие на легитимные пакеты. практика, известная как типосквоттинг. Если разработчик загружает и загружает вредоносные пакеты, сценарий установки также устанавливает — через ряд запутанных шагов — троян W4SP Stealer. По словам исследователей, пакеты были загружены 5,700 раз.
В то время как W4SP Stealer нацелен на криптовалютные кошельки и финансовые счета, наиболее важной целью текущих кампаний, по-видимому, являются секреты разработчиков, говорит Луи Лэнг, соучредитель и технический директор в Phylum.
«Это мало чем отличается от фишинговых кампаний по электронной почте, к которым мы привыкли, только на этот раз злоумышленники нацелены исключительно на разработчиков», — говорит он. «Учитывая, что разработчики часто имеют доступ к драгоценностям короны, успешная атака может иметь разрушительные последствия для организации».
Атаки на PyPI со стороны неизвестного субъекта или группы — это лишь последние угрозы, нацеленные на цепочку поставок программного обеспечения. Компоненты программного обеспечения с открытым исходным кодом, распространяемые через службы репозитория, такие как PyPI и Node Package Manager (npm), являются популярным вектором атак, поскольку количество зависимостей, импортируемых в программное обеспечение, резко выросло. Злоумышленники пытаются использовать экосистемы для распространения вредоносного ПО в системах неосторожных разработчиков, как это произошло в атака 2020 года на экосистему Ruby Gems и нападения на экосистема образов Docker Hub. А в августе исследователи безопасности из Check Point Software Technologies найдено 10 пакетов PyPI который сбросил вредоносное ПО для кражи информации.
В этой последней кампании «эти пакеты представляют собой более изощренную попытку доставить W4SP Stealer на машины разработчиков Python», — исследователи из Phylum. указано в их анализе, добавив: «Поскольку это продолжающаяся атака с постоянно меняющейся тактикой со стороны решительного злоумышленника, мы подозреваем, что в ближайшем будущем появится больше подобных вредоносных программ».
Атака PyPI — это «игра чисел»
Эта атака использует разработчиков, которые ошибочно набирают имя распространенного пакета или используют новый пакет без надлежащей проверки источника программного обеспечения. Один вредоносный пакет под названием «typesutil» представляет собой просто копию популярного пакета Python «datetime2» с несколькими модификациями.
Первоначально любая программа, которая импортировала вредоносное ПО, запускала команду для загрузки вредоносного ПО на этапе установки, когда Python загружает зависимости. Однако, поскольку в PyPI реализованы определенные проверки, злоумышленники начали использовать пробелы, чтобы вывести подозрительные команды за пределы обычного диапазона просмотра большинства редакторов кода.
«Злоумышленник немного изменил тактику, и вместо того, чтобы просто сбросить импорт в очевидном месте, он был помещен за пределы экрана, воспользовавшись редко используемой в Python точкой с запятой, чтобы разместить вредоносный код на той же строке, что и другой законный код», — заявил Филум. в его анализе.
По словам Лэнга из Phylum, несмотря на то, что типосквоттинг — это атака с низкой точностью, с редкими успехами, усилия злоумышленников обходятся мало по сравнению с потенциальной наградой.
«Это игра чисел, когда злоумышленники ежедневно загрязняют экосистему этими вредоносными пакетами, — говорит он. «К сожалению, реальность такова, что стоимость развертывания одного из этих вредоносных пакетов чрезвычайно низка по сравнению с потенциальной наградой».
W4SP, который жалит
Конечная цель атаки — установить «троянец W4SP Stealer для кражи информации, который перечисляет систему жертвы, крадет сохраненные в браузере пароли, нацеливается на криптовалютные кошельки и ищет интересные файлы с использованием ключевых слов, таких как «банк» и «секрет». ", - говорит Лэнг.
«Помимо очевидного денежного вознаграждения за кражу криптовалюты или банковской информации, злоумышленник может использовать часть украденной информации для продолжения своей атаки, предоставив доступ к критически важной инфраструктуре или дополнительным учетным данным разработчика», — говорит он.
Компания Phylum добилась определенного прогресса в идентификации злоумышленника и отправила отчеты компаниям, чья инфраструктура используется.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
