Ένας απειλητικό παράγοντας ανέβασε πρόσφατα τρία επικίνδυνα πακέτα στο αποθετήριο PyPI (Python Package Index), τα οποία περιέχουν info-stealing malware με σκοπό την κλοπή προσωπικών πληροφοριών από ανυποψίαστους προγραμματιστές.
Η Fortinet αποκάλυψε τρία κακόβουλα προγράμματα, όλα ανεβασμένα από τον ίδιο δημιουργό με το όνομα “Lolip0p” μεταξύ 7 και 12 Ιανουαρίου 2023. Τα πακέτα που έχουν εντοπιστεί ονομάζονται ‘colorslib’, ‘httpslib’ και ‘libhttps’. Και τα τρία έχουν αφαιρεθεί από το PyPI καθώς είχαν αναφερθεί.
Το PyPI είναι η πρώτη πηγή για τους προγραμματιστές λογισμικού που αναζητούν στοιχεία για την κατασκευή των project τους, καθώς προσφέρει πρόσβαση σε μια τεράστια βιβλιοθήκη πακέτων Python.
Δυστυχώς, δεδομένου ότι πρόκειται για μια δημοφιλή πλατφόρμα, οι κακόβουλοι φορείς έχουν ως στόχο τους προγραμματιστές ή τα έργα τους. Σε γενικές γραμμές, τα άτομα αυτά δημοσιεύουν ψεύτικα πακέτα που φαίνονται χρήσιμα αλλά στην πραγματικότητα δεν είναι- μπορούν επίσης να αντιγράψουν γνωστά έργα αλλάζοντας τα ονόματα των προϊόντων αυτών.
Δυστυχώς, το PyPI δεν έχει τη δυνατότητα να αξιολογεί ξεχωριστά κάθε πακέτο που μεταφορτώνεται. Έτσι, αντ’ αυτού, εξαρτάται από τις αναφορές των χρηστών προκειμένου να εντοπίσει παράνομα αρχεία – μια προσπάθεια που συχνά αποδεικνύεται ανεπιτυχής λόγω του ότι τα κακόβουλα πακέτα βρίσκονται ήδη στα χέρια άλλων χρηστών.
Δείτε επίσης: Vice Society: Εκθέτει δεδομένα του Πανεπιστημίου Duisburg-Essen
Νέα καμπάνια
Σε αντίθεση με τις συνήθεις κακόβουλες μεταφορτώσεις στο PyPI, αυτά τα τρία πακέτα που ανακάλυψε η Fortinet έχουν λεπτομερείς περιγραφές που μπορούν εύκολα να εξαπατήσουν τους προγραμματιστές και να τους κάνουν να νομίζουν ότι είναι γνήσια resources.
Σε αυτή την περίπτωση, τα ονόματα των πακέτων είναι προσεκτικά διαμορφωμένα ώστε να αποδίδουν ότι παρέχουν ασφαλή και αξιόπιστο κώδικα χωρίς κανένα κίνδυνο.
Σύμφωνα με το pepy.tech, τη δημοφιλή υπηρεσία καταμέτρησης στατιστικών πακέτων, μέχρι την Κυριακή 14 Ιανουαρίου είχε πραγματοποιηθεί ένας ανησυχητικός αριθμός λήψεων για τις τρεις κακόβουλες καταχωρήσεις πριν αυτές αφαιρεθούν.
- Colorslib – 248 downloads
- httpslib – 233 downloads
- libhttps – 68 downloads
Παρά τον φαινομενικά χαμηλό αριθμό λήψεων, οι μολύνσεις αυτές έχουν τεράστιο αντίκτυπο στις αλυσίδες εφοδιασμού και δεν πρέπει να υποτιμώνται.
Και τα τρία πακέτα συνοδεύονται από ένα κακόβουλο αρχείο ‘setup.py’ που προσπαθεί να εκκινήσει το PowerShell που ανακτά ένα εκτελέσιμο αρχείο από μια ύποπτη διεύθυνση URL, που ονομάζεται “Oxyz.exe”. Αυτό το κομμάτι κακόβουλου λογισμικού κλέβει πληροφορίες του προγράμματος περιήγησης.
Σύμφωνα με το BleepingComputer, το Oxyz.exe διανέμεται με το πρόσχημα μιας δωρεάν γεννήτριας Discord Nitro.
Στο VirusTotal, το δεύτερο αρχείο ανιχνεύεται ως κακόβουλο από διάφορους προμηθευτές. Η Fortinet αναφέρει ότι το “update.exe” ρίχνει πολλαπλά επιπλέον αρχεία στο σύστημα υποδοχής, ένα από τα οποία είναι το “SearchProtocolHost.exe”, και έχει αναγνωριστεί ως πιθανό info-stealer από ορισμένους παρόχους antivirus.
Δείτε επίσης: CircleCi: Παραβιάστηκε μέσω info-stealing malware σε laptop υπαλλήλου
Κατά την περαιτέρω εξέταση, το BleepingComputer ανακάλυψε ότι τουλάχιστον μία από τις διεργασίες που έγιναν drop χρησιμοποιείται για τη συλλογή Discord token. Αυτό σημαίνει ότι αποτελεί μέρος μιας κακόβουλης εκστρατείας κακόβουλου λογισμικού που αποσκοπεί στην κλοπή δεδομένων προγράμματος περιήγησης, authentication token και άλλων πληροφοριών από μολυσμένες συσκευές.
Η ύπουλη φύση αυτής της επίθεσης αποδεικνύεται από τα ποσοστά ανίχνευσης και για τα τρία εκτελέσιμα προγράμματα, τα οποία είναι συγκλονιστικά χαμηλά, μεταξύ 4,5% και 13,5%. Αυτό το ποσοστό επέτρεψε στα κακόβουλα αρχεία να αποφεύγουν τον εντοπισμό από πολλούς security agents που ενδέχεται να εκτελούνται στον host-θύμα.
Παρά τη λήψη προληπτικών μέτρων για την αφαίρεση κακόβουλων πακέτων από το PyPI, οι απειλητικοί φορείς μπορούν να εκμεταλλευτούν ευπάθειες με την εκ νέου φόρτωσή τους αργότερα με νέο όνομα.
Για να παρέχουν τη μέγιστη δυνατή προστασία για τα project τους, οι software developers πρέπει να είναι προσεκτικοί όταν επιλέγουν πακέτα προς λήψη. Η προσεκτική αξιολόγηση των author των πακέτων και η ενδελεχής παρακολούθηση της δραστηριότητας του κώδικα είναι απαραίτητα βήματα που θα μπορούσαν να βοηθήσουν στον εντοπισμό τυχόν κακόβουλων ή ύποπτων προθέσεων.
Δείτε επίσης: Zoho RCE: Κυκλοφορεί Proof-of-Concept για επικίνδυνο σφάλμα
Είναι σημαντικό τόσο για τους προγραμματιστές όσο και για τους χρήστες των βιβλιοθηκών Python να γνωρίζουν την πιθανή κακόβουλη δραστηριότητα που κρύβεται μέσα σε ορισμένα από αυτά τα πακέτα που φιλοξενούνται από το PyPI. Λαμβάνοντας προληπτικά μέτρα, όπως η λήψη μόνο επαληθευμένων εκδόσεων βιβλιοθηκών απευθείας από τις επίσημες ιστοσελίδες τους και η τακτική εκτέλεση σαρώσεων κατά των ιών, μπορείτε να προστατευτείτε από τυχόν απειλές που δημιουργούνται από την εγκατάσταση δυνητικά εκτεθειμένων βιβλιοθηκών από το PyPI.
Πηγή πληροφοριών: bleepingcomputer.com
