Napadalci še naprej ustvarjajo ponarejene pakete Python in uporabljajo osnovne tehnike zamegljevanja, da bi okužili sisteme razvijalcev s trojancem W4SP Stealer, ki je zasnovan za krajo informacij o kriptovalutah, izločanje občutljivih podatkov in zbiranje poverilnic iz sistemov razvijalcev.
Glede na nasvet, ki ga je ta teden objavilo podjetje za dobavno verigo programske opreme Phylum, je akter grožnje ustvaril 29 klonov priljubljenih programskih paketov na Python Package Index (PyPI) in jim dal imena, ki zvenijo benigno, ali pa jim je namenoma dal imena, podobna legitimnim paketom, praksa, znana kot typosquatting. Če razvijalec prenese in naloži zlonamerne pakete, namestitveni skript prek številnih zakritih korakov namesti tudi trojanca W4SP Stealer. Raziskovalci so povedali, da so paketi predstavljali 5,700 prenosov.
Medtem ko W4SP Stealer cilja na denarnice za kriptovalute in finančne račune, se zdi, da so najpomembnejši cilj trenutnih kampanj skrivnosti razvijalcev, pravi Louis Lang, soustanovitelj in tehnični direktor pri Phylum.
»To ni nič drugače od e-poštnih lažnih kampanj, ki smo jih vajeni videti, le da tokrat napadalci ciljajo izključno na razvijalce,« pravi. "Glede na to, da imajo razvijalci pogosto dostop do kronskih draguljev, je lahko uspešen napad za organizacijo uničujoč."
Napadi na PyPI s strani neznanega akterja ali skupine so le najnovejše grožnje, ki ciljajo na dobavno verigo programske opreme. Komponente odprtokodne programske opreme, distribuirane prek storitev repozitorija, kot sta PyPI in Node Package Manager (npm), so priljubljen vektor napadov, kot število odvisnosti, uvoženih v programsko opremo, je dramatično naraslo. Napadalci poskušajo uporabiti ekosisteme za distribucijo zlonamerne programske opreme v sisteme neprevidnih razvijalcev, kot se je zgodilo v napad leta 2020 na ekosistem Ruby Gems in napadi na slikovni ekosistem Docker Hub. In avgusta varnostni raziskovalci pri Check Point Software Technologies našel 10 paketov PyPI ki je odstranil zlonamerno programsko opremo za krajo informacij.
V tej najnovejši kampanji so "ti paketi bolj sofisticiran poskus dostave W4SP Stealerja na stroje razvijalcev Pythona," raziskovalci Phylum navedli v svoji analizi, in dodal: "Ker gre za stalen napad z nenehno spreminjajočo se taktiko odločnega napadalca, sumimo, da se bo v bližnji prihodnosti pojavilo še več takšne zlonamerne programske opreme."
Napad PyPI je "igra številk"
Ta napad izkorišča razvijalce, ki pomotoma napačno vnesejo ime običajnega paketa ali uporabijo nov paket, ne da bi ustrezno preverili vir programske opreme. En zlonamerni paket z imenom »typesutil« je samo kopija priljubljenega paketa Python »datetime2« z nekaj spremembami.
Na začetku bi vsak program, ki je uvozil zlonamerno programsko opremo, zagnal ukaz za prenos zlonamerne programske opreme med fazo namestitve, ko Python naloži odvisnosti. Ker pa je PyPI izvedel določena preverjanja, so napadalci začeli uporabljati presledke za potiskanje sumljivih ukazov izven običajnega vidnega obsega večine urejevalnikov kode.
"Napadalec je nekoliko spremenil taktiko in namesto da bi samo odložil uvoz na vidno mesto, ga je postavil zelooo izven zaslona, pri čemer je izkoristil podpičje, ki ga Python redko uporablja, da zlonamerno kodo prikrade v isto vrstico kot druga legitimna koda," je dejal Phylum. v svoji analizi.
Medtem ko je typosquatting napad nizke ločljivosti z le redkimi uspehi, napor napadalce malo stane v primerjavi s potencialno nagrado, pravi Phylum's Lang.
»Gre za igro številk z napadalci, ki vsakodnevno onesnažujejo ekosistem paketov s temi zlonamernimi paketi,« pravi. "Žalostna resničnost je, da so stroški uvedbe enega od teh zlonamernih paketov izjemno nizki glede na potencialno nagrado."
W4SP, ki zbada
Končni cilj napada je namestitev »trojanca W4SP Stealer, ki krade informacije, ki našteje sistem žrtve, ukrade gesla, shranjena v brskalniku, cilja na denarnice za kriptovalute in išče zanimive datoteke s ključnimi besedami, kot sta 'banka' in 'skrivnost'. ,« pravi Lang.
»Poleg očitnih denarnih nagrad zaradi kraje kriptovalute ali bančnih informacij bi lahko napadalec nekatere ukradene podatke uporabil za nadaljevanje svojega napada z omogočanjem dostopa do kritične infrastrukture ali dodatnih poverilnic razvijalca,« pravi.
Phylum je dosegel določen napredek pri identifikaciji napadalca in poslal poročila podjetjem, katerih infrastrukturo uporablja.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
