Istraživači sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera koja cilja korisnike Python Package Indexa (PyPI) , službenog Pythonovog softverskog repozitorija treće strane.
Ovaj najnoviji vektor napada uključuje nekoliko malicioznih paketa prerušenih u uslužne programe koji se odnose na vrijeme, koji su zapravo dizajnirani za krađu osjetljivih informacija uključujući tokene za pristup oblaku, API ključeve i druge kredencijale.
Prema postu Reversing Labs-a koji je podijeljen na X-u, kampanja, identifikovana početkom marta 2025., uključuje više paketa s nazivima kao što su “time-utils”, “timeformat” i “execution-time-async” koji oponašaju legitimne biblioteke mjerenja vremena.
Ovi paketi koriste tehniku poznatu kao combosquatting, gdje napadači dodaju riječi koje zvuče uvjerljivo postojećim nazivima paketa kako bi zavarali programere.
Na primjer, maliciozni paket “execution-time-async” vrlo liči na legitimni uslužni program “execution-time” koji mjeri vrijeme izvršenja koda i prima preko 27.000 preuzimanja sedmično.
Nakon instalacije, čini se da ovi paketi pružaju standardno formatiranje vremena i funkciju mjerenja dok tajno izvršavaju maliciozni kod u pozadini.
Jedan takav paket sadrži sljedeći naizgled nevin kod:
Stručnjaci za sigurnost primjećuju da je URL obrnute krajnje točke u kodu dizajniran da izbjegne osnovna sigurnosna skeniranja.
Kada se izvrši, ovaj kod šalje sistemske informacije serverima pod kontrolom napadača.
Sofisticirane metode eksfiltracije podataka
Ova kampanja se posebno bavi svojim sofisticiranim metodama eksfiltracije.
Umjesto da koristi lako uočljive HTTP veze, maliciozni softver šifruje ukradene podatke i prenosi ih putem blockchain transakcija preko RPC krajnjih tačaka kako bi izbjegao tradicionalne alate za praćenje mreže.
Maliciozni paketi ciljaju AWS kredencijle, varijable okruženja i druge tokene usluga u cloud-u koji bi napadačima mogli pružiti pristup osjetljivoj infrastrukturi.
Izvor: CyberSecurityNew