Hakeri su objavili više od 451 jedinstvenih Python paketa u službenom spremištu Python Package Index (PyPI) u pokušaju da zaraze sisteme programera Clipper malicioznim softverom.
Kompanija za bezbjednost lanca nabavke softvera Phylum, koja je uočila biblioteke, rekla je da je tekuća aktivnost nastavak kampanje koja je prvobitno objavljena u novembru 2022. godine.
Inicijalni vektor podrazumijeva korištenje typosquatting za oponašanje popularnih paketa kao što su beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana i tensorflow, između ostalih.
“Nakon instalacije, maliciozna JavaScript datoteka se pušta u sistem i izvršava u pozadini bilo koje sesije pretraživanja web-a” navodi Phylum u izvještaju objavljenom prošle godine. “Kada programer kopira adresu kriptovalute, adresa se u međuspremniku zamjenjuje adresom napadača.”
Ovo se postiže kreiranjem ekstenzije Chromium web pretraživača u fascikli Windows AppData i pisanjem lažnog Javascript-a i datoteke manifest.json koja traži korisničke dozvole za pristup i modifikovanje međuspremnika.
Ciljani web pretraživači uključuju Google Chrome, Microsoft Edge, Brave i Opera, sa malicioznim softverom koji modifikuje prečice pretraživača kako bi se dodatak automatski učitao nakon pokretanja pomoću prekidača naredbene linije “–load-extension”.
Najnoviji set Python paketa pokazuje sličan, ako ne i isti, način rada i dizajniran je da funkcioniše kao kripto novčanik zasnovan na međuspremniku koji zamjenjuje maliciozni softver. Ono što je promijenjeno je tehnika zamagljivanja koja se koristi za prikrivanje JavaScript koda.
Krajnji cilj napada je da se otmu transakcije kriptovaluta koje je pokrenuo kompromitovani programer i preusmjere ih na novčanike koje kontrolira napadač umjesto na željenog primaoca.
“Ovaj napadač je značajno povećao svoj otisak u PyPI-u kroz automatizaciju” napominje Phylum. “Preplavljivanje ekosistema ovakvim paketima će se nastaviti.”
Nalazi se poklapaju sa izveštajem kompanije Sonatype, koji je pronašao 691 maliciozni paket u npm registru i 49 malicioznih paketa u PyPI-u samo tokom januara 2023. godine.
Razvoj još jednom ilustruje rastuću pretnju s kojom se susreću programeri od napada na lanac nabavke, pri čemu se hakeri oslanjaju na metode kao što je typosquatting kako bi prevarili korisnike da preuzmu lažne pakete.
Izvor: The Hacker News