Επτά κακόβουλα πακέτα PyPI εντοπίστηκαν να χρησιμοποιούν τους διακομιστές SMTP του Gmail και WebSockets για εξαγωγή δεδομένων και απομακρυσμένη εκτέλεση εντολών.
Δείτε επίσης: Κακόβουλο πακέτο PyPI επιτίθεται σε sites ηλεκτρονικού εμπορίου
Τα πακέτα ανακαλύφθηκαν από την ερευνητική ομάδα ασφαλείας της Socket, η οποία ανέφερε τα ευρήματά της στο PyPI, με αποτέλεσμα την αφαίρεση των πακέτων. Ωστόσο, ορισμένα από αυτά τα πακέτα ήταν διαθέσιμα στο PyPI για περισσότερα από τέσσερα χρόνια και σύμφωνα με μετρητές λήψεων τρίτων, ένα από αυτά είχε πάνω από 18.000 λήψεις. Ο πλήρης κατάλογος που κοινοποίησε η Socket είναι ο εξής:
- Coffin-Codes-Pro (9.000 λήψεις)
- Coffin-Codes-NET2 (6.200 λήψεις)
- Coffin-Codes-NET (6.100 λήψεις)
- Coffin-Codes-2022 (18.100 λήψεις)
- Coffin2022 (6.500 λήψεις)
- Coffin-Grave (6.500 λήψεις)
- cfc-bsb (2.900 λήψεις)
Τα πακέτα με την ονομασία “Coffin” φαίνεται να προσποιούνται ότι είναι το αυθεντικό πακέτο Coffin, το οποίο λειτουργεί ως προσαρμογέας για την ενσωμάτωση προτύπων Jinja2 σε έργα Django. Η κακόβουλη λειτουργία που εντόπισε η Socket σε αυτά τα πακέτα PyPI, επικεντρώνεται στην κρυφή απομακρυσμένη πρόσβαση και την εξαγωγή δεδομένων μέσω Gmail.
Δείτε ακόμα: Το πακέτο PyPi automslc εγκαθιστά πειρατική μουσική
Τα πακέτα χρησιμοποιούσαν ενσωματωμένα διαπιστευτήρια Gmail για να συνδεθούν στον SMTP διακομιστή της υπηρεσίας (smtp.gmail.com), αποστέλλοντας πληροφορίες αναγνώρισης ώστε ο επιτιθέμενος να μπορεί να αποκτήσει απομακρυσμένη πρόσβαση στο παραβιασμένο σύστημα. Δεδομένου ότι το Gmail αποτελεί αξιόπιστη υπηρεσία, είναι απίθανο τα firewalls και τα εργαλεία ανίχνευσης απειλών (EDRs) να χαρακτηρίσουν αυτή τη δραστηριότητα ως ύποπτη.
Μετά το στάδιο της ειδοποίησης μέσω email, το κακόβουλο λογισμικό συνδέεται με απομακρυσμένο διακομιστή μέσω WebSocket με χρήση SSL, λαμβάνοντας οδηγίες ρύθμισης για τη δημιουργία ενός μόνιμου, κρυπτογραφημένου και αμφίδρομου καναλιού επικοινωνίας μεταξύ του συστήματος-στόχου και του επιτιθέμενου.
Με τη χρήση μιας κλάσης ‘Client‘, το κακόβουλο λογισμικό προωθεί την κίνηση από τον απομακρυσμένο διακομιστή στο τοπικό σύστημα μέσω του καναλιού, επιτρέποντας πρόσβαση σε εσωτερικά admin panels και APIs, μεταφορά αρχείων, εξαγωγή email, εκτέλεση εντολών στο τερματικό, συλλογή διαπιστευτηρίων και πλευρική μετακίνηση στο δίκτυο.
Εάν έχετε εγκαταστήσει κάποιο από αυτά τα κακόβουλα πακέτα PyPI που καταχρώνται το Gmail, αφαιρέστε το άμεσα και αλλάξτε όλα τα κλειδιά πρόσβασης και τα διαπιστευτήρια όπου είναι απαραίτητο.
Δείτε επίσης: Πακέτο PyPi χρησιμοποιείται ως backdoor σε συκευές macOS
Ένα σχετικό σημείο που αξίζει να επισημανθεί είναι ότι αυτού του είδους οι επιθέσεις δείχνουν μια αυξανόμενη τάση όπου κακόβουλοι παράγοντες εκμεταλλεύονται νόμιμες πλατφόρμες (όπως το PyPI και υπηρεσίες όπως το Gmail) για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας. Αυτό υπογραμμίζει τη σημασία του να ελέγχεται αυστηρά η προέλευση και η αξιοπιστία κάθε πακέτου λογισμικού πριν την εγκατάστασή του, ακόμα και από φαινομενικά αξιόπιστες πηγές. Η χρήση εργαλείων ανάλυσης πακέτων όπως το Socket ή το OpenSSF Scorecard μπορεί να προσφέρει επιπλέον επίπεδα προστασίας.
Πηγή: bleepingcomputer
