Адміністратори Python Package Index (PyPI) видалили 10 пакетів зловмисного програмного коду з реєстру після того, як постачальник засобів безпеки повідомив їх про проблему.
Цей інцидент є останнім у швидко зростаючому списку нещодавніх випадків, коли зловмисники розміщують несанкціоноване програмне забезпечення в широко використовуваних сховищах програмного забезпечення, таких як PyPI, Node Package Manager (npm) і Maven Central, з метою скомпрометувати численні організації. Аналітики безпеки описали цю тенденцію як значне підвищення потреби команд розробників проявляти належну обачність під час завантаження стороннього коду та коду з відкритим кодом із публічних реєстрів.
Дослідники Spectralops.io компанії Check Point виявили цей останній набір шкідливих пакетів на PyPI та виявили, що вони є розвантажувачами зловмисного програмного забезпечення, що викрадає інформацію. Пакунки були розроблені так, щоб виглядати як законний код — і в деяких випадках імітували інші популярні пакунки на PyPI.
Шкідливий код у сценаріях встановлення
Дослідники Check Point виявили, що зловмисники, які розмістили зловмисне програмне забезпечення до реєстру, вбудували шкідливий код у сценарій інсталяції пакета. Отже, коли розробник використовував команду «pip» install для встановлення будь-якого з підроблених пакетів, зловмисний код непомітно запускався на машині користувача та встановлював дроппер зловмисного програмного забезпечення.
Наприклад, один із підроблених пакетів під назвою «Ascii2text» містив шкідливий код у файлі (_init_.py), імпортованому сценарієм встановлення (setup.py). Коли розробник намагався встановити пакет, код завантажував і виконував сценарій, який шукав локальні паролі, які потім завантажував на сервер Discord. Шкідливий пакет був розроблений так, щоб виглядати точно так само, як популярний арт-пакет із тією ж назвою та описом, повідомляє Check Point.
Три з 10 шахрайських пакетів (Pyg-utils, Pymocks і PyProto2), здається, були розроблені тим самим загрозником, який нещодавно розгорнув зловмисне програмне забезпечення для викрадення облікових даних AWS на PyPI. Під час процесу інсталяції setup.py Py-Utils, наприклад, підключився до того самого шкідливого домену, який використовувався в кампанії крадіжки облікових даних AWS. Хоча Pymocks і PyProto2 підключилися до іншого шкідливого домену під час процесу інсталяції, їхній код був майже ідентичним до Pyg-utils, що змусило Check Point вважати, що всі три пакунки створив той самий автор.
Інші пакети включають ймовірний завантажувач зловмисного програмного забезпечення під назвою Test-async, який нібито є пакетом для тестування коду; один називається WINRPCexploit для викрадення облікових даних користувача під час процесу встановлення setup.py; і два пакети (Free-net-vpn і Free-net-vpn2) для крадіжки змінних середовища.
«Важливо, щоб розробники зберігали свої дії в безпеці, двічі перевіряючи кожен компонент програмного забезпечення, що використовується, і особливо те, що завантажується з різних репозиторіїв», – попереджає Check Point.
Постачальник безпеки не відразу відповів на запитання, як довго шкідливі пакети могли бути доступними в реєстрі PyPI або скільки людей могли їх завантажити.
Зростаючий вплив на ланцюг поставок
Цей інцидент є останнім, який підкреслює зростаючу небезпеку завантаження стороннього коду з загальнодоступних сховищ без належної перевірки.
Минулого тижня компанія Sonatype повідомила про відкриття три пакети, що містять програми-вимагачі які хакер шкільного віку з Італії завантажив у PyPI як частину експерименту. Понад 250 користувачів завантажили один із пакетів, у 11 з яких файли на комп’ютері були зашифровані. У цьому випадку жертви змогли отримати ключ дешифрування без необхідності платити викуп, оскільки хакер, очевидно, завантажив зловмисне програмне забезпечення без злих намірів.
Однак було багато інших випадків, коли зловмисники використовували загальнодоступні сховища коду як стартовий майданчик для розповсюдження зловмисного програмного забезпечення.
Раніше цього року Sonatype також виявила шкідливий пакет для завантаження комплекту атаки Cobalt Strike на PyPI. про 300 розробників завантажили шкідливу програму перед видаленням. У липні дослідники Kaspersky виявили чотири заплутаних викрадача інформації ховається в широко використовуваному репозиторії npm для Java-програмістів.
Зловмисники почали все частіше атакувати ці реєстри через їх широке охоплення. PyPI, наприклад, закінчився користувачі 613,000 а код із сайту наразі вбудовано в понад 391,000 500 проектів по всьому світу. Організації будь-якого розміру та типу, включаючи компанії зі списку Fortune XNUMX, видавці програмного забезпечення та державні установи, використовують код із загальнодоступних сховищ для створення власного програмного забезпечення.
