Na PyPI-ju se pojavio zlonamjerni Python paket koji cilja na programere u Windows okruženju, uzrokujući prisilno isključivanje sistema prilikom unosa neispravne lozinke.
Ovaj zlonamjerni paket, nazvan “psslib”, predstavlja sofisticirani napad tzv. “typosquattinga” usmjeren protiv široko korištene “passlib” biblioteke, koja bilježi preko 8,9 miliona mjesečnih preuzimanja od strane programera koji implementiraju sigurne sisteme autentifikacije.
Malver pokazuje naročito podmukao pristup iskorištavanjem povjerenja programera u pakete usmjerene na sigurnost. Za razliku od klasičnih napada na lance nabavke, koji djeluju prikriveno radi krađe podataka ili uspostavljanja perzistencije, ovaj paket prioritet daje neposrednom ometanju umjesto stealth operacijama. Paket, objavljen od strane aktera prijetnje identificiranog kao “umaraq”, lažno se reklamira kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok istovremeno sadrži destruktivni kod namijenjen nanošenju trenutne štete sistemu.
Istraživači Socket.dev-a identificirali su zlonamjerni paket putem svojih AI-pogonjenih sistema za skeniranje, koji su označili destruktivno ponašanje prisilnog isključivanja sistema kao anomalno za navodnu sigurnosnu biblioteku. Paket je i dalje aktivan na PyPI-ju uprkos formalnim zahtjevima za uklanjanjem, nastavljajući predstavljati rizik za nesvjesne programere koji mogu slučajno instalirati verziju podložnu typosquattingu tokom rutinskog upravljanja zavisnostima.
Napad specifično cilja na Windows razvojna okruženja, gdje Python programeri često posjeduju povišene sistemske privilegije neophodne za automatizaciju i zadatke razvoja aplikacija. Kada ti programeri integrišu zlonamjerni paket u svoje radne procese, destruktivni teret dobija pristup na sistemskom nivou potreban za izvršavanje trenutnih komandi za isključivanje, potencijalno uzrokujući gubitak podataka i poremećaj radnih procesa unutar razvojnih timova.
Tehnička implementacija i mehanizam napada: Paket “psslib” implementira svoj destruktivni teret putem naizgled jednostavnih Python funkcija koje koriste “easygui” biblioteku za interakciju s korisnikom i “os” modul za sistemske komande. Primarni vektor napada fokusiran je na funkciju provjere lozinke koja neposredno pokreće isključivanje Windowsa kada korisnici unesu netačne akreditive. Osim isključivanja pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane za proširenje vektora napada. Funkcija “src()” omogućava direktno isključivanje sistema bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinira prikaz poruke o grešci sa prisilnim izvršavanjem isključivanja. Ovi višestruki vektori napada osiguravaju da se zlonamjerni teret može izvršiti bez obzira na način na koji programeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemsko ometanje u različitim scenarijima implementacije.
