Το Python Package Index (PyPI) έχει προσωρινά αναστείλει τις εγγραφές χρηστών και τη δημιουργία νέων projects, για να αντιμετωπίσει μια εκστρατεία malware.
Δείτε επίσης: Κακόβουλα πακέτα PyPi δημιουργήθηκαν από τη Lazarus
Το PyPI είναι ένας κατάλογος για έργα Python που βοηθά τους προγραμματιστές να βρουν και να εγκαταστήσουν πακέτα Python.
Με χιλιάδες πακέτα διαθέσιμα, το αποθετήριο αποτελεί έναν ελκυστικό στόχο για δράστες, οι οποίοι συχνά ανεβάζουν πακέτα με τυπογραφικά λάθη ή ψεύτικα για να διαταράξουν τους προγραμματιστές λογισμικού και να δημιουργήσουν πιθανές επιθέσεις στην αλυσίδα εφοδιασμού.
Τέτοια δραστηριότητα ώθησε τους διαχειριστές του PyPI νωρίτερα να ανακοινώσουν ότι οι νέες εγγραφές χρηστών έχουν ανασταλεί προσωρινά, για να επιτραπεί η αντιμετώπιση της εκστρατεία malware.
Μία αναφορά από την Checkmarx λέει ότι απειλητικοί παράγοντες άρχισαν χθες να ανεβάζουν πακέτα PyPI 365, με ονόματα που μιμούνται νόμιμα έργα. Τα πακέτα περιλαμβάνουν κακόβουλο κώδικα μέσα στο αρχείο ‘setup.py’ που εκτελείται κατά την εγκατάσταση, προσπαθώντας να ανακτήσει ένα επιπλέον φορτίο από έναν απομακρυσμένο διακομιστή.
Για να αποφεύγεται η ανίχνευση, ο κακόβουλος κώδικας κρυπτογραφείται χρησιμοποιώντας το πρόσθετο Fernet, με τη διεύθυνση URL του απομακρυσμένου πόρου να κατασκευάζεται δυναμικά όταν απαιτείται.
Δείτε ακόμα: Εντοπίστηκαν κακόβουλα πακέτα npm και PyPi που κλέβουν ευαίσθητα data από devs
Το τελικό φορτίο είναι ένα εργαλείο κλοπής πληροφοριών, με δυνατότητες διατήρησης, που στοχεύει σε δεδομένα που αποθηκεύονται στους φυλλομετρητές ιστού, όπως κωδικοί πρόσβασης, cookies και επεκτάσεις κρυπτονομισμάτων.
Το Checkmarx διαθέτει στην έκθεσή του την πλήρη λίστα των κακόβουλων καταχωρήσεων που βρήκαν, η οποία περιλαμβάνει πολλαπλές παραλλαγές για πολλά νόμιμα πακέτα. Επομένως η κίνηση του PyPi για την αναχαίτιση της εκστρατείας malware είναι δικιολογημένη.
Σύμφωνα με έκθεση της Check Point, η λίστα κακόβουλων πακέτων υπερβαίνει τα 500 και αναπτύχθηκαν σε δύο στάδια. Οι ερευνητές αναφέρουν ότι κάθε πακέτο προήλθε από μοναδικούς λογαριασμούς διαχειριστών με διακριτικά ονόματα και emails. Οι ερευνητές αναφέρουν ότι όλες οι καταχωρήσεις είχαν τον ίδιο αριθμό έκδοσης, περιείχαν τον ίδιο κακόβουλο κώδικα, και τα ονόματα φαίνεται ότι παράγονταν μέσω μιας διαδικασίας τυχαιοποίησης.
Αυτό το περιστατικό υπογραμμίζει τη σημασία των προγραμματιστών λογισμικού και των διαχειριστών πακέτων να χρησιμοποιούν αποθετήρια ανοικτού κώδικα για τον αυστηρό έλεγχο της αυθεντικότητας και της ασφάλειας των στοιχείων που χρησιμοποιούν στα έργα τους.
Αυτή δεν είναι η πρώτη φορά που το PyPI λαμβάνει τόσο αποφασιστικά μέτρα για την προστασία της κοινότητάς του από εκστρατείες malware. Οι διαχειριστές του αποθετηρίου είχαν λάβει την ίδια ενέργεια πέρυσι, στις 20 Μαΐου.
Δείτε επίσης: Το WhiteSnake Stealer Malware μεταφέρεται σε υπολογιστές με Windows
Ποια μέτρα μπορούν να ληφθούν για την αντιμετώπιση των επιθέσεων malware;
Ένα από τα πιο σημαντικά μέτρα για την αντιμετώπιση μίας εκστρατείας malware όπωα αυτή που εντόπισε το PyPI, είναι η ενημέρωση και η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να είναι σε θέση να αναγνωρίσουν τα ύποπτα emails και τα αρχεία. Επίσης, είναι ζωτικής σημασίας η χρήση λογισμικού anti-malware. Αυτό το λογισμικό μπορεί να αναγνωρίσει και να απομακρύνει το malware πριν αυτό προκαλέσει ζημιά στο σύστημα. Είναι σημαντικό να ενημερώνεται τακτικά για να μπορεί να αντιμετωπίσει τις τελευταίες απειλές. Η χρήση προηγμένων τεχνολογιών ασφαλείας, όπως το firewall και τα συστήματα ανίχνευσης και πρόληψης εισβολών (IDS/IPS), μπορεί να βοηθήσει στην προστασία των συστημάτων από επιθέσεις malware. Τέλος, η εφαρμογή καλύτερων πρακτικών για τη διαχείριση των προσωπικών δεδομένων και των πληροφοριών μπορεί να προσφέρει επιπλέον προστασία.
Πηγή: bleepingcomputer
