Πάνω από δύο δωδεκάδες πακέτα Python στο μητρώο PyPI βρέθηκαν να διασπείρουν info-stealing malware, όπως ανακάλυψαν ερευνητές.
Τα περισσότερα από αυτά περιέχουν obfuscated κώδικα που ρίχνει το “W4SP” info-stealer σε μολυσμένα μηχανήματα, ενώ άλλα χρησιμοποιούν malware που υποτίθεται ότι δημιουργήθηκε μόνο για “εκπαιδευτικούς σκοπούς”.
Δείτε επίσης: Η Vodafone Italia αποκαλύπτει παραβίαση δεδομένων – χακαρίστηκε ένας reseller
31 typosquats ρίχνουν ‘W4SP’ info-stealer
Οι ερευνητές εντόπισαν πάνω από δύο δωδεκάδες πακέτα Python στο μητρώο PyPI που μιμούνται δημοφιλείς βιβλιοθήκες, αλλά αντίθετα κάνουν drop info-stealers αφού μολύνουν μηχανήματα.
Τα πακέτα είναι typosquats (δείτε τα παρακάτω) – δηλαδή, οι απειλητικοί φορείς που τα δημοσίευσαν τα ονόμασαν σκόπιμα παρόμοια με γνωστές βιβλιοθήκες Python, με την ελπίδα ότι οι προγραμματιστές που θα προσπαθήσουν να ανακτήσουν την πραγματική βιβλιοθήκη θα κάνουν ορθογραφικό λάθος και θα ανακτήσουν κατά λάθος μία από τις κακόβουλες βιβλιοθήκες.
Χθες, η εταιρεία Phylum που δραστηριοποιείται στον τομέα της ασφάλειας της αλυσίδας εφοδιασμού λογισμικού αποκάλυψε 29 πακέτα στην έκθεσή της.
- algorithmic
- colorsama
- colorwin
- curlapi
- cypress
- duonet
- faq
- fatnoob
- felpesviadinho
- iao
- incrivelsim
- installpy
- oiu
- pydprotect
- pyhints
- pyptext
- pyslyte
- pystyle
- pystyte
- pyurllib
- requests-httpx
- shaasigma
- strinfer
- stringe
- sutiltype
- twyne
- type-color
- typestring
- typesutil
Η έρευνά έδειξε ότι η απειλή “typesutil” εισάγει κακόβουλο κώδικα σε βάσεις κώδικα που προέρχονται από νόμιμες βιβλιοθήκες. Αυτό το συγκεκριμένο θέμα της εισαγωγής μέσω της δήλωσης “__import__” είναι κάτι που έχουμε ξαναδεί σε πολλές περιπτώσεις.
Στην έκθεση, οι ερευνητές εξηγούν με μεγάλη λεπτομέρεια τις προκλήσεις που αντιμετώπισαν κατά την ανάλυση του obfuscated κώδικα που εκτείνεται σε πάνω από 71.000 χαρακτήρες, ο οποίος ήταν «quite a bit of mud» που έπρεπε να περάσουν.
Δείτε επίσης: Το Emotet επιστρέφει μετά από ένα διάλειμμα πέντε μηνών
Τελικά, οι ερευνητές ανακάλυψαν ότι το malware σε αυτά τα πακέτα ήταν το W4SP Stealer. Αυτό κάνει exfiltrate τα Discord tokens, cookies και αποθηκευμένους κωδικούς πρόσβασης από τη συσκευή σας.
Σύμφωνα με τα στατιστικά στοιχεία του Pepy.tech, οι ερευνητές της Phylum αναφέρουν ότι όλα τα πακέτα μαζί έχουν κατέβει πάνω από 5.700 φορές.
Επιπλέον, ο προγραμματιστής λογισμικού και ερευνητής Hauke Lübbers ανακάλυψε τα πακέτα PyPI “pystile” και “threadings” που περιέχουν malware που προσποιείται ότι είναι το “GyruzPIP”.
Ο ερευνητής σημείωσε ότι αυτό το κακόβουλο λογισμικό βασίζεται σε ένα έργο ανοιχτού κώδικα που ονομάζεται evil-pip. Προειδοποιούν, ωστόσο, ότι το έργο αυτό δημοσιεύθηκε για “εκπαιδευτικούς σκοπούς μόνο”.
Ο κώδικας μέσα σε αυτά τα δύο typosquats ήταν πολύ απλός για να αναλυθεί: με κάθε όνομα λειτουργίας να δηλώνει τον σκοπό του, π.χ. κλοπή κωδικών πρόσβασης του Chrome, cookies του προγράμματος περιήγησης, Discord tokens και μεταφόρτωση αυτών των δεδομένων σε ένα webhook του Discord.
Ο Lübbers, που έχει αναφέρει αυτά τα πακέτα στους διαχειριστές του PyPI, δήλωσε στο BleepingComputer ότι για να παρουσιάσουν αυτά τα έργα κακόβουλη συμπεριφορά, θα πρέπει πιθανότατα να συμπεριληφθούν ως dependencies σε ένα πρόγραμμα.
Δείτε επίσης: Χάκερ κατάφεραν να εισάγουν το SocGholish malware σε εκατοντάδες ειδησεογραφικά sites
Το συμβάν αυτής της εβδομάδας είναι μόνο μία από τις πολλές πρόσφατες επιθέσεις typosquatting που έχουν ως στόχο προγραμματιστές που χρησιμοποιούν πλατφόρμες διανομής λογισμικού ανοιχτού κώδικα, όπως οι PyPI και npm.
Το PyPI (Python Package Index) είναι ένα αποθετήριο λογισμικού για τη γλώσσα προγραμματισμού Python. Είναι παρόμοιο με το CPAN, το αποθετήριο για την Perl. Το PyPI σας βοηθά να βρείτε και να εγκαταστήσετε λογισμικό που αναπτύχθηκε και μοιράζεται η κοινότητα της Python. Αυτή τη στιγμή υπάρχουν περισσότερα από 350,000 πακέτα Python διαθέσιμα στο PyPI.
Πηγή πληροφοριών: bleepingcomputer.com
