Istraživači su otkrili novi napad na Python Package Index (PyPI) repozitorijum koje koristi kompajlirani Python kod kako bi zaobišlo detekciju pomoću sigurnosnih alata aplikacija.
„To bi mogao biti prvi napad na lanac snabdjevanja koji je iskoristio činjenicu da Python bytecode (PYC) datoteke mogu da se izvrše direktno“ rekao je analitičar ReversingLabs-a Karlo Zanki u izveštaju podeljenom za The Hacker News.
U pitanju je paket fshec2 koji je uklonjen iz registra softvera treće strane 17. aprila 2023. godine, nakon odgovornog otkrivanja istog dana.
PYC datoteke su kompajlirane datoteke bajtkoda koje generiše Python interpreter kada se izvršava Python program.
“Kada se modul uvozi po prvi put, ili kada se izvorna datoteka promijenila otkako je kreirana trenutna kompajlirana datoteka, .pyc datoteka koja sadrži kompajlirani kod treba biti kreirana u poddirektoriju __pycache__ direktorija koji sadrži .py datoteku” objašnjava Python dokumentacija.
Paket, prema kompaniji za sigurnost lanca nabavke softvera, sadrži tri datoteke, _init_.py, main.py i full.pyc, od kojih posljednji sadrži maliciozne funkcije.
“Ulazna tačka paketa je pronađena u datoteci __init__.py, koja uvozi funkciju iz druge datoteke otvorenog teksta, main.py, koja sadrži Python izvorni kod odgovoran za učitavanje Python kompajliranog modula koji se nalazi u jednoj od drugih datoteka, full.pyc“ istakao je Zanki.
Ovo se, postiže korištenjem paketa importlib, za razliku od običnog import-a, za učitavanje i izvršavanje koda koji se nalazi u .pyc datoteci.
Analiza obrnutog inženjeringa verzije PYC datoteke otkriva da je konfigurisana za prikupljanje korisničkih imena, imena host-ova i popisa direktorija, kao i dohvatanje naredbi koje se izvršavaju na host-u sa hard kodiranog servera (13.51.44[.] 246).
ReversingLabs je rekao da je takođe promatrao preuzimanje modula i pokrenuo drugu Python skriptu koja je odgovorna za dohvatanje novih komandi smještenih unutar datoteke koju haker može podesiti po želji da izda različite upute.
Daljnjim ispitivanjem komandno-kontrolnog servera otkrivena je pogrešna konfiguracija koja je omogućila preuzimanje datoteka po njihovom ID-u, koji su numerisani redosledom (počevši od 1), bez ikakve autorizacije. To ukazuje da napad najvjerovatnije nije orkestrovao sofistikovan haker.
Razvoj je nastavak napora hakera da usvoje različite tehnike prikrivanja kako bi izbjegli otkrivanje iz sigurnosnih rešenja.
„Skripte za učitavanje poput onih otkrivenih u paketu fshec2 sadrže minimalnu količinu Python koda i izvode jednostavnu radnju: učitavanje kompajliranog Python modula“ rekao je Zanki. “To je samo maliciozni modul.”
Izvor: The Hacker News
