Βρέθηκε ότι κακόβουλα αρχεία Python ανοικτού κώδικα .whl (Wheel) διανέμουν ένα νέο malware με την ονομασία KEKW, το οποίο μπορεί να υποκλέψει ευαίσθητες πληροφορίες από μολυσμένα συστήματα ενσωματώνοντας δραστηριότητες clipper με infostealers προκειμένου να υποκλέψει συναλλαγές κρυπτονομισμάτων.
Δείτε επίσης: Νέο Python RAT malware στοχεύει τα Windows σε επιθέσεις
Σε μια ανάρτηση στο blog στις 3 Μαΐου, η Cyble Research and Intelligence Labs (CRIL) εξήγησε ότι τα πακέτα Python που εξετάζονται δεν υπήρχαν στο πραγματικό αποθετήριο PyPI (Python Package Index), υποδεικνύοντας ότι η ομάδα ασφαλείας της Python είχε αφαιρέσει τα κακόβουλα πακέτα.
Η CRIL επαλήθευσε με την ομάδα ασφαλείας της Python στις 2 Μαΐου ότι η ομάδα ασφαλείας κατέβασε τα κακόβουλα πακέτα εντός 48 ωρών από τη μεταφόρτωσή τους. Δεδομένου ότι τα κακόβουλα πακέτα απομακρύνθηκαν γρήγορα, η CRIL δήλωσε ότι ήταν αδύνατο να προσδιοριστεί πόσοι άνθρωποι τα είχαν κατεβάσει. Παρόλα αυτά, θεώρησαν ότι ο αντίκτυπος του περιστατικού ήταν πιθανότατα ελάχιστος.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Δείτε επίσης: PyPi python packages κλέβουν crypto μέσω Chrome extensions
Το περιστατικό αναδεικνύει ένα διαρκές ζήτημα για την κοινότητα ανοιχτού κώδικα. Το PyPI έχει γίνει ένα ευρέως χρησιμοποιούμενο αποθετήριο για πακέτα λογισμικού που χρησιμοποιούν τη γλώσσα προγραμματισμού Python. Οι προγραμματιστές το χρησιμοποιούν για κοινή χρήση και λήψη κώδικα Python. Λόγω της ευρείας χρήσης του PyPI, έχει γίνει πλέον επιθυμητός στόχος για τους απειλητικούς παράγοντες που θέλουν να επιτεθούν σε προγραμματιστές.
Οι ερευνητές της CRIL λένε ότι τα κακόβουλα πακέτα συνήθως μεταφορτώνονται είτε μεταμφιέζοντας τα ως χρήσιμο λογισμικό είτε μιμούμενοι γνωστά projects και αλλάζοντας τα ονόματά τους. Στο παρελθόν, η CRIL έχει αντιμετωπίσει πολλές περιπτώσεις όπου επιτιθέμενοι χρησιμοποίησαν πακέτα PyPI για τη διανομή ωφέλιμων φορτίων κακόβουλου λογισμικού, ενώ έχει αυξηθεί και η συχνότητα διάδοσης infostealers μέσω κακόβουλων πακέτων PyPI.
Ο Scott Gerlach, συνιδρυτής και CSO της StackHawk είπε ότι η κατάληψη εγκαταλελειμμένων έργων, η πλαστογράφηση ονομάτων και τα κακόβουλα contributions είναι μερικοί τρόποι με τους οποίους οι επιτιθέμενοι εκμεταλλεύονται ομάδες με περιορισμένους πόρους που παρέχουν αυτά τα pipelines.
Δείτε επίσης: Info-stealing malware Python χρησιμοποιεί Unicode για να αποφύγει τον εντοπισμό
Ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, πρόσθεσε ότι η περίπτωση που ανέφερε η Cyble αποτελεί ένα καλό παράδειγμα του είδους των επιθέσεων στην αλυσίδα εφοδιασμού που προτιμούν τώρα τελευταία οι απειλητικοί παράγοντες. Ο Parkin δήλωσε επίσης ότι αποτελεί ένα καλό παράδειγμα της σωστής αντίδρασης της ομάδας που διαχειρίζεται το repository, η οποία εντόπισε και αφαίρεσε γρήγορα τα offending αρχεία.
Πηγή πληροφοριών: scmagazine.com