Istraživači cyber sigurnosti otkrili su zlonamjerni paket u spremištu Python Package Index (PyPI) koji cilja na Apple macOS sisteme s ciljem krađe korisničkih akreditiva Google Cloud od uskog kruga žrtava.
Paket, nazvan “lr-utils-lib”, privukao je ukupno 59 preuzimanja prije nego što je uklonjen. Unesena je u registar početkom juna 2024.
“Zlonamjerni softver koristi listu unaprijed definisanih hashova za ciljanje određenih macOS strojeva i pokušava prikupiti podatke za autentifikaciju Google Cloud-a”, rekao je istraživač Checkmarxa Yehuda Gelb u izvješću od petka. “Prikupljeni akredativi se šalju na udaljeni server.”
Važan aspekt paketa je da prvo provjerava da li je instaliran na macOS sistemu, a tek onda nastavlja da upoređuje univerzalno jedinstveni identifikator (UUID) sistema sa tvrdo kodiranom listom od 64 heša.
Ako je kompromitovana mašina među onima navedenim u unaprijed definisanom skupu, pokušava pristupiti dvjema datotekama, odnosno application_default_credentials.json i credentials.db, koji se nalaze u ~/.config/gcloud direktoriju, koji sadrže podatke za autentifikaciju Google Clouda.
Uhvaćene informacije se zatim preko HTTP-a prenose na udaljeni server “europe-west2-workload-422915[.]cloudfunctions[.]net.”
Checkmarx je rekao da je takođe pronašao lažni profil na LinkedIn-u s imenom “Lucid Zenith” koji odgovara vlasniku paketa i lažno tvrdi da je izvršni direktor kompanije Apex Companies, što sugeriše mogući element društvenog inženjeringa u napadu.
Trenutno se ne zna ko tačno stoji iza kampanje. Međutim, dolazi više od dva mjeseca nakon što je firma za czber sigurnost Phylum otkrila detalje o drugom napadu na lanac snabdijevanja koji uključuje Python paket pod nazivom “requests-darwin-lite” za koji je takođe utvrđeno da oslobađa svoje zlonamjerne radnje nakon provjere UUID-a macOS hosta.
Ove kampanje su znak da hakeri imaju prethodno znanje o macOS sistemima u koje žele da se infiltriraju i da se ulažu u velike mjere kako bi osigurali da se zlonamjerni paketi distribuiraju samo tim određenim strojevima.
Takođe govori o taktici koju zlonamjerni hakeri koriste za distribuciju sličnih paketa, s ciljem da prevare programere da ih ugrade u svoje aplikacije.
“Iako nije jasno da li je ovaj napad bio usmjeren na pojedince ili preduzeća, ove vrste napada mogu značajno utjecati na preduzeća”, rekao je Gelb. „Dok se početni kompromis obično dešava na mašini individualnog programera, implikacije za preduzeća mogu biti značajne.“
Izvor:The Hacker News