Održavači Python Package Index (PyPI) skladišta nakratko su suspendovali nove registracije korisnika nakon priliva malicioznih projekata otpremljenih kao dio kampanje typosquattinga.
Rečeno je da je “kreiranje novog projekta i registracija novih korisnika” privremeno zaustavljeno kako bi se ublažila, kako se navodi, “kampanja uploadovanja malicioznog softvera”. Incident je razriješen 10 sati kasnije, 28. marta 2024. u 12:56 sati UTC.
Firma za sigurnost lanca nabavke softvera Checkmarx rekla je da su neidentifikovani hakeri koji stoje iza preplavljivanja skladišta ciljali programere s typosquatiranim verzijama popularnih paketa.
“Ovo je napad u više faza i maliciozni teret koji ima za cilj krađu kripto novčanika, osjetljive podatke iz pretraživača (kolačići, podaci o ekstenzijama, itd.) i razne kredencijale”, rekli su istraživači Yehuda Gelb, Jossef Harush Kadouri i Tzachi Zornstain. “Pored toga, maliciozno opterećenje koristilo je mehanizam postojanosti da preživi ponovno pokretanje.”
Ove nalaze je također nezavisno potvrdio Mend.io, koji je otkrio više od 100 malicioznih paketa koji ciljaju biblioteke mašinskog učenja (ML), kao što su Pytorch, Matplotlib i Selenium.
Razvoj dolazi kada skladišta otvorenog koda sve više postaju vektor napada za hakere pri pokušaju da se infiltriraju u poslovno okruženje.
Typosquatting je dobro dokumentovana tehnika napada u kojoj protivnici učitavaju pakete s imenima koji su slični njihovim legitimnim pandanima (npr. Matplotlib vs. Matplotlig ili tensorflow vs. tensourflow ) kako bi prevarili nesuđene korisnike da ih preuzmu.
Utvrđeno je da su ove varljive varijante – ukupno preko 500 paketa, po Check Pointu – otpremljene s jedinstvenog naloga počevši od 26. marta 2024, što sugeriše da je cijeli proces automatizovan.
“Decentralizovana priroda otpremanja, sa svakim paketom koji se pripisuje drugom korisniku, komplikuje napore da se ovi maliciozni unosi međusobno identifikuju”, rekla je izraelska kompanija za sajber bezbednost .
Firma za sajber bezbednost Phylum, koja takođe prati istu kampanju , saopštila je da su napadači objavili –
- 67 varijacija zahtjeva
- 38 varijacija Matplotlib-a
- 36 varijacija traženja
- 35 varijacija kolorame
- 29 varijacija tenzorskog toka
- 28 varijacija selena
- 26 varijanti BeautifulSoup
- 26 varijacija PyTorcha
- 20 varijanti jastuka
- 15 varijacija asyncio
Paketi, sa svoje strane, provjeravaju da li je instalaterov operativni sistem bio Windows, i ako jeste, nastavljaju sa preuzimanjem i izvršavanjem zamagljenog korisnog učitavanja preuzetog sa domene pod kontrolom hakera (“funcaptcha[.]ru”).
Malver funkcioniše kao kradljivac, eksfiltrira datoteke, Discord tokene, kao i podatke iz web pretraživača i novčanika kriptovaluta na isti server. Dalje pokušava da preuzme Python skriptu (“hvnc.py”) u Windows Startup folder radi postojanosti.
Razvoj događaja još jednom ilustruje rastući rizik koji predstavljaju napadi na lanac nabavke softvera, što čini ključnim potrebu da programeri pažljivo ispitaju svaku komponentu treće strane kako bi osigurali zaštitu od potencijalnih prijetnji.
Ovo nije prvi put da PyPI pribjegava takvoj mjeri. U maju 2023. privremeno je onemogućio registraciju korisnika nakon što je otkrio da je “količina malicioznih korisnika i malicioznih projekata koji su kreirani na indeksu u protekloj sedmici nadmašila našu sposobnost da na to odgovorimo na vrijeme.”
Izvor: The Hacker News
