Otkriven je zlonamjerni Python paket koji oponaša legitimnu biblioteku za sigurnost lozinki i automatski gasi Windows sisteme kada se unesu neispravni podaci za prijavu.
Ovaj opasni paket, nazvan “psslib”, predstavlja napredan napad tip-kvotiranja (typosquatting) na široko korištenu biblioteku “passlib”, koja bilježi preko 8.9 miliona preuzimanja mjesečno od strane razvojnih inženjera koji implementiraju sigurnosne sisteme autentifikacije.
Malver koristi naročito podmukao pristup iskorištavajući povjerenje razvojnih inženjera u pakete fokusirane na sigurnost. Za razliku od klasičnih napada na lance snabdijevanja, koji djeluju prikriveno radi krađe podataka ili uspostavljanja trajnog prisustva, ovaj paket prioritet daje trenutnoj disruptivnosti nad prikrivenim operacijama.
Paket, koji je objavio akter pod imenom “umaraq”, lažno se reklamira kao sigurnosno rješenje koje će “osigurati vaš Python program”, ali zapravo sadrži destruktivni kod osmišljen da prouzrokuje trenutnu štetu sistemu.
Istraživači iz Socket.dev identifikovali su zlonamjerni paket pomoću svojih AI-baziranih sistema za skeniranje, koji su označili destruktivno ponašanje gašenja sistema kao anomaliju za navodnu sigurnosnu biblioteku.
Paket je i dalje aktivan na PyPI uprkos zvaničnim zahtjevima za njegovo uklanjanje, nastavljajući da predstavlja rizik za nesvjesne razvojne inženjere koji bi ga mogli slučajno instalirati tokom rutinskog upravljanja zavisnostima.
Napad je usmjeren specifično na Windows razvojna okruženja, gdje Python programeri često posjeduju povlaštene sistemske privilegije neophodne za automatizaciju i razvojne zadatke aplikacija. Kada ovi programeri integriraju zlonamjerni paket u svoje radne procese, destruktivni teret dobija pristup na nivou sistema neophodan za izvršavanje trenutnih naredbi za gašenje, što potencijalno može uzrokovati gubitak podataka i poremećaje u radu razvojnih timova.
**Tehnička implementacija i mehanizam napada**
Paket “psslib” implementira svoj destruktivni teret putem naizgled jednostavnih Python funkcija koje koriste biblioteku “easygui” za interakciju s korisnikom i modul “os” za sistemske komande. Glavni vektor napada usredsređen je na funkciju provjere lozinke koja trenutno pokreće Windows gašenje kada korisnici unesu netačne akreditive. Pored gašenja pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane da prošire vektore napada. Funkcija “src()” omogućava direktno gašenje sistema bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinuje prikaz poruka o greškama sa izvršavanjem prisilnog gašenja. Ovi višestruki vektori napada osiguravaju da destruktivni teret može da se izvrši bez obzira na to kako programeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemske poremećaje u različitim scenarijima implementacije.
