Na Python Package Index (PyPI) platformi se pojavio zlonamjerni paket koji se predstavlja kao legitimna biblioteka za sigurnost lozinki, a koji cilja na Windows programere, uzrokujući neposredna gašenja sistema prilikom pogrešnog unosa lozinke.
Ovaj zlonamjerni paket, nazvan “psslib”, predstavlja sofisticirani “typosquatting” napad na široko korištenu “passlib” biblioteku, koja bilježi preko 8.9 miliona mjesečnih preuzimanja od strane programera koji implementiraju sigurne sisteme autentifikacije.
Malware koristi naročito podmukao pristup eksploatirajući povjerenje programera u pakete fokusirane na sigurnost. Za razliku od tradicionalnih napada na lance snabdijevanja, koji djeluju prikriveno radi krađe podataka ili uspostavljanja perzistencije, ovaj paket prioritetizira neposredno ometanje nad prikrivenim operacijama. Paket, objavljen od strane aktera prijetnje identificiranog kao “umaraq”, lažno se reklamira kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok zapravo sadrži destruktivni kod dizajniran za nanošenje neposredne štete sistemu.
Istraživači Socket.dev identificirali su zlonamjerni paket putem svojih AI-nadziranih sistema skeniranja, koji su destruktivno ponašanje gašenja sistema označili kao anomalno za navodnu sigurnosnu biblioteku. Paket ostaje aktivan na PyPI-u uprkos formalnim peticijama za njegovo uklanjanje, nastavljajući predstavljati rizik za nesuđene programere koji bi mogli slučajno instalirati verziju sa greškom pri pisanju tokom rutinskog upravljanja zavisnostima. Napad specifično cilja na Windows razvojna okruženja, gdje Python programeri često posjeduju povlaštene sistemske privilegije neophodne za automatizaciju i razvojne zadatke aplikacija. Kada ovi programeri integrišu zlonamjerni paket u svoje radne procese, destruktivni payload dobija pristup sistemskom nivou neophodan za izvršavanje trenutnih komandi za gašenje, potencijalno uzrokujući gubitak podataka i poremećaj radnog procesa širom razvojnih timova.
Tehnička implementacija i mehanizam napada:
Paket “psslib” implementira svoj destruktivni payload putem naizgled jednostavnih Python funkcija koje koriste “easygui” biblioteku za interakciju s korisnikom i “os” modul za sistemske komande. Glavni vektor napada usredotočen je na funkciju provjere lozinke koja neposredno pokreće Windows isključenje kada korisnici unesu netačne akreditive.
Pored gašenja pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane za proširenje vektora napada. Funkcija “src()” omogućava direktno isključenje sistema bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinira prikaz poruke o grešci sa izvršavanjem prisilnog isključenja. Ovi višestruki vektori napada osiguravaju da se destruktivni payload može izvršiti bez obzira na to kako programeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemski poremećaj u različitim scenarijima implementacije.