Otkriven je zlonamjerni Python paket koji se predstavlja kao legitimna biblioteka za sigurnost lozinki, a koji cilja Windows developere prisilnim gašenjem sistema pri nevažećim unosima lozinki.
Ovaj opaki paket, nazvan “psslib”, predstavlja sofisticirani napad “typosquattinga” usmjeren protiv široko korištene biblioteke “passlib”, koja bilježi preko 8.9 miliona mjesečnih preuzimanja od strane developera koji implementiraju sigurne sisteme autentikacije.
Malware demonstrira posebno podmukao pristup eksploatišući povjerenje developera u pakete fokusirane na sigurnost. Za razliku od tradicionalnih napada na lance snabdijevanja koji djeluju prikriveno radi krađe podataka ili uspostavljanja postojanosti, ovaj paket prioritet daje trenutnom ometanju umjesto prikrivenih operacija. Paket, objavljen od strane aktera prijetnje identificiranog kao “umaraq”, lažno se oglašava kao sigurnosno rješenje koje će “osigurati vaš Python program”, a u sebi sadrži destruktivni kod dizajniran da prouzrokuje neposrednu sistemsku štetu.
Istraživači Socket.dev-a identificirali su zlonamjerni paket putem svojih AI-baziranih sistema skeniranja, koji su označili destruktivno ponašanje gašenja sistema kao anomalno za navodnu sigurnosnu biblioteku. Paket ostaje aktivan na PyPI-ju uprkos formalnim peticijama za njegovo uklanjanje, nastavljajući predstavljati rizik za nesvjesne developere koji bi mogli slučajno instalirati verziju sa pogrešnim nazivom tokom rutinskog upravljanja zavisnostima.
Napad specifično cilja Windows razvojna okruženja, gdje Python developeri obično posjeduju povišene sistemske privilegije potrebne za automatizaciju i zadatke razvoja aplikacija. Kada ovi developeri integrišu zlonamjerni paket u svoje radne procese, destruktivni payload dobija sistemski pristup neophodan za izvršavanje trenutnih komandi za gašenje, potencijalno uzrokujući gubitak podataka i ometanje radnog procesa unutar razvojnih timova.
U pogledu tehničke implementacije, “psslib” paket vrši svoj destruktivni payload putem vješto prikrivenih Python funkcija koje koriste biblioteku “easygui” za interakciju s korisnikom i modul “os” za sistemske komande. Primarni vektor napada fokusiran je na funkciju provjere lozinke koja odmah pokreće Windows gašenje kada korisnici unesu netačne akreditive.
Pored gašenja izazvanog lozinkom, paket uključuje dodatne funkcije dizajnirane da prošire vektore napada. Funkcija “src()” omogućava direktno sistemsko gašenje bez ikakvih zahtjeva za autentikacijom, dok funkcija “error()” kombinira prikaz poruka o greškama sa izvršavanjem prisilnog gašenja. Ovi višestruki vektori napada osiguravaju da se zlonamjerni payload može izvršiti bez obzira na to kako developeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemsko ometanje u različitim scenarijima implementacije.
