Зловмисники продовжують створювати підроблені пакети Python і використовувати елементарні методи обфускації, намагаючись заразити системи розробників за допомогою трояна W4SP Stealer, призначеного для крадіжки інформації про криптовалюту, вилучення конфіденційних даних і збору облікових даних із систем розробників.
Згідно з порадою, опублікованою цього тижня фірмою з постачання програмного забезпечення Phylum, зловмисник створив 29 клонів популярних пакетів програмного забезпечення на Python Package Index (PyPI), надавши їм назви, що звучать доброзичливо, або навмисно давши їм назви, схожі на законні пакети, практика, відома як типосквотінг. Якщо розробник завантажує та завантажує шкідливі пакети, інсталяційний сценарій також встановлює — через низку обфускованих кроків — трояна W4SP Stealer. За словами дослідників, ці пакети завантажили 5,700 разів.
Хоча W4SP Stealer націлений на криптовалютні гаманці та фінансові рахунки, найбільш важливою метою поточних кампаній є секрети розробників, каже Луїс Ленг, співзасновник і технічний директор у Phylum.
«Це мало чим відрізняється від фішингових кампаній електронної пошти, які ми звикли бачити, тільки цього разу зловмисники націлені виключно на розробників», — каже він. «Враховуючи, що розробники часто мають доступ до коштовностей, успішна атака може бути руйнівною для організації».
Атаки на PyPI з боку невідомого суб’єкта або групи — це лише остання загроза, спрямована на ланцюг постачання програмного забезпечення. Компоненти програмного забезпечення з відкритим кодом, що розповсюджуються через служби репозиторіїв, такі як PyPI та Node Package Manager (npm), є популярним вектором атак, оскільки кількість залежностей, імпортованих у програмне забезпечення, різко зросла. Зловмисники намагаються використовувати екосистеми для розповсюдження зловмисного програмного забезпечення в системах необережних розробників, як це сталося в атака 2020 року на екосистему Ruby Gems і напади на екосистема зображень Docker Hub. А в серпні дослідники безпеки з Check Point Software Technologies знайдено 10 пакетів PyPI що скинув зловмисне програмне забезпечення для крадіжки інформації.
У цій останній кампанії «ці пакунки є більш складною спробою доставити W4SP Stealer на машини розробників Python», дослідники Phylum зазначено в їх аналізі, додавши: «Оскільки це постійна атака з постійно змінюваною тактикою рішучого зловмисника, ми підозрюємо, що найближчим часом з’явиться більше подібних шкідливих програм».
Атака PyPI — це «гра чисел»
Ця атака використовує розробників, які помилково неправильно вводять назву загального пакета або використовують новий пакет, не перевіривши належним чином джерело програмного забезпечення. Один шкідливий пакет під назвою «typesutil» є просто копією популярного пакета Python «datetime2» з кількома змінами.
Спочатку будь-яка програма, яка імпортувала зловмисне програмне забезпечення, запускала команду для завантаження зловмисного програмного забезпечення на етапі налаштування, коли Python завантажує залежності. Однак через те, що PyPI реалізував певні перевірки, зловмисники почали використовувати пробіли, щоб вивести підозрілі команди за межі нормального діапазону перегляду більшості редакторів коду.
«Зловмисник дещо змінив тактику, і замість того, щоб просто скинути імпортований файл у очевидне місце, він був розміщений ваааааа за межами екрана, скориставшись крапкою з комою, яка рідко використовується в Python, щоб непомітно розмістити шкідливий код у тому самому рядку, що й інший легітимний код», — заявив Філум. у своєму аналізі.
Хоча typosquatting — це атака з низьким рівнем точності з лише рідкісними успіхами, ці зусилля обходяться зловмисникам недорого порівняно з потенційною винагородою, — каже Ленг з Phylum.
«Це гра в цифри, коли зловмисники щодня забруднюють екосистему пакетів цими шкідливими пакетами», — каже він. «На жаль, вартість розгортання одного з цих шкідливих пакетів є надзвичайно низькою порівняно з потенційною винагородою».
W4SP, який жалить
Кінцевою метою атаки є встановлення «трояна W4SP Stealer, який викрадає інформацію, який перераховує систему жертви, викрадає паролі, що зберігаються в браузері, націлюється на криптовалютні гаманці та шукає цікаві файли за ключовими словами, такими як «банк» і «секретний». ", - каже Ленг.
«Крім очевидної грошової винагороди за крадіжку криптовалюти або банківської інформації, зловмисник може використати частину вкраденої інформації для подальшої атаки, надаючи доступ до критичної інфраструктури або додаткові облікові дані розробника», — говорить він.
Phylum досяг певного прогресу в ідентифікації зловмисника та надіслав звіти компаніям, інфраструктура яких використовується.
