Na Python Package Indexu (PyPI) pojavio se zlonamjerni paket koji se predstavlja kao legitimna biblioteka za sigurnost lozinki, a koji cilja Windows programere, uzrokujući trenutno gašenje sistema nakon netočnog unosa lozinke.
Ovaj zlonamjerni paket, nazvan “psslib”, predstavlja sofisticirani “typosquatting” napad na široko korištenu “passlib” biblioteku, koja bilježi preko 8.9 milijuna preuzimanja mjesečno od programera koji implementiraju sigurne sustave autentifikacije.
Malware pokazuje posebno podmukao pristup iskorištavanjem povjerenja programera u pakete usmjerene na sigurnost. Za razliku od tradicionalnih napada na lance opskrbe koji djeluju potajno radi krađe podataka ili uspostavljanja trajnog prisustva, ovaj paket prioritet daje trenutnom prekidu rada umjesto prikrivenim operacijama. Paket, objavljen od strane aktera prijetnje identificiranog kao “umaraq”, lažno se oglašava kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok sadrži destruktivni kod namijenjen nanošenju neposredne štete sustavu.
Istraživači iz Socket.dev identificirali su zlonamjerni paket putem svojih AI-sistemima za skeniranje, koji su označili destruktivno ponašanje gašenja sustava kao neobično za navodnu sigurnosnu biblioteku. Paket ostaje aktivan na PyPI-u usprkos formalnim zahtjevima za njegovim uklanjanjem, nastavljajući predstavljati rizik za neoprezne programere koji bi ga mogli slučajno instalirati tijekom rutinskog upravljanja zavisnostima. Napad specifično cilja Windows razvojna okruženja, gdje Python programeri često posjeduju povlaštene sistemske privilegije neophodne za automatizaciju i razvojne zadatke aplikacija. Kada ti programeri integriraju zlonamjerni paket u svoje radne procese, destruktivni teret dobiva pristup na nivou sustava potreban za izvršavanje naredbi za trenutno gašenje, potencijalno uzrokujući gubitak podataka i prekide radnog procesa unutar razvojnih timova.
Paket “psslib” implementira svoj destruktivni teret putem naizgled jednostavnih Python funkcija koje koriste “easygui” biblioteku za interakciju s korisnikom i “os” modul za sistemske naredbe. Primarni vektor napada usredotočen je na funkciju provjere lozinke koja odmah pokreće gašenje sustava Windows kada korisnici unesu netočan akreditiv. Osim gašenja sustava pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane za proširenje vektora napada. Funkcija “src()” omogućuje izravno gašenje sustava bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinira prikaz poruka o greškama s izvršenjem obaveznog gašenja. Ovi višestruki vektori napada osiguravaju da se zlonamjerni teret može izvršiti bez obzira na to kako programeri integriraju paket u svoje aplikacije, maksimizirajući potencijal za sistemske prekide u raznim scenarijima implementacije.