Az NPM-hez hasonlóan már a PyPI is kereszttűzben

Összesen 24 rosszindulatú Python csomagot azonosítottak a PyPI (Python Package Index) repositoryban. Ezek a csomagok olyan elterjedt, nyílt forráskódú Python eszközöket imitáltak, mint a pyVmomi, az asyncio támogatást lehetővé tevő adatbázisokat, valamint az Ethereum alapú alkalmazások tesztelésére használt eth-tester nevű eszközkészletet.

Események:

  1. A ReversingLabs felfedezett egy VMConnect nevű rosszindulatú PyPI csomagot.
  2. A csomag utánozta a gyakori Python eszközöket és gyanús viselkedést mutatott.
  3. A támadás július 28-án kezdődött a hírhedt csomagok folyamatos megjelenésével.
  4. A PyPI csapata rendre eltávolította a csomagokat, de a támadók folyamatosan pótolták őket.
  5. A támadás céljai továbbra is tisztázatlanok a kutatók számára.

 

A vállalat statikus keresőmotorja, a Titanium Platform rutinszerű szkennelés közben azonosította a gyanús PyPI csomagokat. A további szondázás feltárta, hogy a csomagok kommunikációt létesítettek egy C2 szerverrel további rosszindulatú szoftverek letöltése céljából. A kutatók megfigyelték, hogy a rosszindulatú csomagok terjesztői sokat tettek azért, hogy a tevékenységüket hitelesnek tüntessék fel, például legitimnek tűnő leírásokkal rendelkező GitHub repókat hoztak létre szintén valós és hiteles forráskódokkal.

A kampánynak sikerült elkerülnie a forráskódban történő észlelést és a jelenlétét csak akkor fedezték fel, amikor a kutatók átvizsgálták a build artifaktumokat (futtatható állományok, diagramok, libaryk és modulok, tesztadatok, adatmodellek, konfigurációs fájlok, beállítási scriptek stb.). Ez különbözteti meg például a nemrégiben felfedezett ellátási lánc kampánytól, a Brainleeches-től.

A PyPI adminisztrátorai a csomagok megjelenését követően három napon belül eltávolították a platformról. Az incidens komoly aggodalomra ad okot, mivel a kutatók egyre növekvő tendenciát észlelnek a nyílt forráskódú modulok kihasználása terén, hogy rosszindulatú kódot terjesszenek és különböző típusú ellátási láncot érintő támadásokat hajtsanak végre.

A múltban az ilyen jellegű támadások többsége az NPM repositoryját célozta meg, de a PyPI is komoly célponttá vált eközben. A kutatók 2023 januárjában 41 gyanús PyPI csomagot fedeztek fel, amelyek népszerű HTTP könyvtáraknak adták ki magukat, márciusban pedig egy “termcolour” nevű PyPI csomagot fedezett fel a ReversingLabs, amely egy háromlépcsős letöltő több változatát is tartalmazta.

A kutatók számára az intenzív vizsgálatok ellenére sem világos, hogy mi a célja ezeknek a támadásoknak, legyen szó érzékeny adatok ellopásáról, megfigyelésről, zsarolóprogramok telepítéséről vagy ezek kombinációjáról.

(hackread.com)