ΑρχικήSecurityPython: Εκατοντάδες κακόβουλα packages κλέβουν ευαίσθητα δεδομένα

Python: Εκατοντάδες κακόβουλα packages κλέβουν ευαίσθητα δεδομένα

Μια κακόβουλη εκστρατεία, που γίνεται όλο και πιο περίπλοκη όσο περνάει ο καιρός, έχει εγκαταστήσει εκατοντάδες Python packages κλοπής πληροφοριών, σε ανοιχτές πλατφόρμες λογισμικού, τα οποία έφτασαν περίπου τις 75.000 λήψεις.

Δείτε επίσης: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες

Python

Η εκστρατεία παρακολουθείται από αναλυτές της ομάδας Ασφάλειας της Checkmarx από τα μέσα Απριλίου, οι οποίοι ανακάλυψαν 272 πακέτα με κώδικα για την κλοπή ευαίσθητων δεδομένων από στοχευσημένα συστήματα. Η επίθεση έχει εξελιχθεί σημαντικά από τότε που ανιχνεύθηκε πρώτη φορά, με τους δημιουργούς των κακόβουλων Python packages να εφαρμόζουν όλο και πιο εξειδικευμένα επίπεδα απόκρυψης και τεχνικές αποφυγής ανίχνευσης.

Ένα παράδειγμα που παρέχεται είναι το αρχείο “_init_py“, το οποίο φορτώνεται μόνο αφού ελέγξει ότι εκτελείται σε ένα σύστημα στόχο και όχι σε ένα εικονικοποιημένο περιβάλλον, μία συνηθισμένη ένδειξη ενός υπολογιστή ανάλυσης κακόβουλου λογισμικού.

Μετά την εκκίνησή του, στοχεύει στις παρακάτω πληροφορίες στα μολυσμένα συστήματα:

  • Εργαλεία antivirus που εκτελούνται στη συσκευή.
  • Λίστα καθηκόντων, κωδικοί Wi-Fi και πληροφορίες συστήματος.
  • Διαπιστευτήρια, ιστορικό περιήγησης, cookies και πληροφορίες πληρωμής που αποθηκεύονται στους περιηγητές ιστού.
  • Δεδομένα στις εφαρμογές πορτοφολίου κρυπτονομισμάτων όπως το Atomic και το Exodus.
  • Ετικέτες Discord, αριθμοί τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και κατάσταση nitro.
  • Minecraft και Roblox user data.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να καταγράφει στιγμιότυπα οθόνης και να κλέβει ατομικά αρχεία από το παραβιασμένο σύστημα, όπως τους φακέλους Επιφάνεια εργασίας, Εικόνες, Έγγραφα, Μουσική, Βίντεο και Λήψεις.

Δείτε ακόμα: Microsoft Excel: Θα σας επιτρέψει να εκτελείτε Python scripts ως formulas

κακόβουλα packages

Η συσκευή του θύματος επίσης παρακολουθείται συνεχώς για διευθύνσεις crypto και ο κακόβουλος κώδικας τις αντικαθιστά με τη διεύθυνση του επιτιθέμενου για να θέσει τις πληρωμές προς τα πορτοφόλια υπό τον έλεγχό τους. Οι αναλυτές εκτιμούν ότι η εκστρατεία έχει κλέψει περίπου 100.000 δολάρια σε κρυπτονομίσματα. Σύμφωνα με την έκθεση της Checkmarx, το malware που χρησιμοποιείται σε αυτήν την εκστρατεία πηγαίνει ένα βήμα παραπέρα από τις συνήθεις επιθέσεις κλοπής πληροφοριών, εμπλέκοντας τη χειραγώγηση δεδομένων εφαρμογών για να πραγματοποιήσει μεγαλύτερο πλήγμα.

Στο Discord, εάν είναι ενεργοποιημένες ορισμένες ρυθμίσεις, το malware ενσωματώνει κώδικα JavaScript που εκτελείται όταν ο πελάτης επανεκκινείται. Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ένα PowerShell script σε ένα τερματικό για να παραπλανήσει το “hosts” των Windows, έτσι ώστε τα προϊόντα ασφαλείας που εκτελούνται στην παραβιασμένη συσκευή να μην μπορούν να επικοινωνήσουν με τους διακομιστές τους.

Οι ερευνητές προειδοποιούν ότι οι κοινότητες και τα οικοσυστήματα ανοικτού κώδικα εξακολουθούν να είναι ευάλωτα σε επιθέσεις αλυσίδας εφοδιασμού, καθώς οι επιτιθέμενοι ανεβάζουν κακόβουλα Python packages σε ευρέως χρησιμοποιούμενα αποθετήρια κώδικα και συστήματα έκδοσης, όπως το GitHub, ή αποθετήρια πακέτων όπως το PyPi και το NPM, καθημερινά.

Οι χρήστες που είναι περισσότερο ευάλωτοι στην απειλή αυτών των κακόβουλων packages είναι όσοι δεν προσέχουν την πηγή των packages που εγκαθιστούν και δεν ελέγχουν την ακεραιότητα των αρχείων που κατεβάζουν. Είναι σημαντικό να είστε προσεκτικοί και να επιβεβαιώνετε την αξιοπιστία των πηγών πριν εγκαταστήσετε οποιοδήποτε package. Τέλος, οι χρήστες που δεν ενημερώνουν τακτικά τα πακέτα τους είναι επίσης ευάλωτοι. Οι κακόβουλοι προγραμματιστές μπορεί να εκμεταλλευτούν γνωστές αδυναμίες σε παλαιότερες εκδόσεις των πακέτων για να αποκτήσουν πρόσβαση στα δεδομένα του χρήστη. Είναι σημαντικό να ελέγχετε και να ενημερώνετε τα πακέτα σας τακτικά για να διορθώνετε τυχόν αδυναμίες ασφαλείας. Επίσης, οι χρήστες που χρησιμοποιούν ανεπίσημα ή μη επαληθευμένα αποθετήρια (repositories) είναι επίσης ευάλωτοι. Αυτά τα αποθετήρια μπορεί να περιέχουν κακόβουλα packages που στοχεύουν στην κλοπή ευαίσθητων δεδομένων. Προτείνεται να χρησιμοποιείτε μόνο επίσημες και αξιόπιστες πηγές για την εγκατάσταση των packages.

Δείτε επίσης: Νέο KEKW malware μολύνει αρχεία Python Wheel ανοιχτού κώδικα

Συνιστάται στους χρήστες να εξετάζουν προσεκτικά τα έργα και τους εκδότες πακέτων που εμπιστεύονται και να είναι επιφυλακτικοί σε σχέση με τυπογραφικά λάθη στα ονόματα των πακέτων. Μια λίστα με τα κακόβουλα Python packages που χρησιμοποιήθηκαν σε αυτήν την εκστρατεία είναι διαθέσιμη εδώ.

Πηγή: BleepingComputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS