Összesen 24 rosszindulatú Python csomagot azonosítottak a PyPI (Python Package Index) repositoryban. Ezek a csomagok olyan elterjedt, nyílt forráskódú Python eszközöket imitáltak, mint a pyVmomi, az asyncio támogatást lehetővé tevő adatbázisokat, valamint az Ethereum alapú alkalmazások tesztelésére használt eth-tester nevű eszközkészletet.
Események:
- A ReversingLabs felfedezett egy VMConnect nevű rosszindulatú PyPI csomagot.
- A csomag utánozta a gyakori Python eszközöket és gyanús viselkedést mutatott.
- A támadás július 28-án kezdődött a hírhedt csomagok folyamatos megjelenésével.
- A PyPI csapata rendre eltávolította a csomagokat, de a támadók folyamatosan pótolták őket.
- A támadás céljai továbbra is tisztázatlanok a kutatók számára.
A vállalat statikus keresőmotorja, a Titanium Platform rutinszerű szkennelés közben azonosította a gyanús PyPI csomagokat. A további szondázás feltárta, hogy a csomagok kommunikációt létesítettek egy C2 szerverrel további rosszindulatú szoftverek letöltése céljából. A kutatók megfigyelték, hogy a rosszindulatú csomagok terjesztői sokat tettek azért, hogy a tevékenységüket hitelesnek tüntessék fel, például legitimnek tűnő leírásokkal rendelkező GitHub repókat hoztak létre szintén valós és hiteles forráskódokkal.
A kampánynak sikerült elkerülnie a forráskódban történő észlelést és a jelenlétét csak akkor fedezték fel, amikor a kutatók átvizsgálták a build artifaktumokat (futtatható állományok, diagramok, libaryk és modulok, tesztadatok, adatmodellek, konfigurációs fájlok, beállítási scriptek stb.). Ez különbözteti meg például a nemrégiben felfedezett ellátási lánc kampánytól, a Brainleeches-től.
A PyPI adminisztrátorai a csomagok megjelenését követően három napon belül eltávolították a platformról. Az incidens komoly aggodalomra ad okot, mivel a kutatók egyre növekvő tendenciát észlelnek a nyílt forráskódú modulok kihasználása terén, hogy rosszindulatú kódot terjesszenek és különböző típusú ellátási láncot érintő támadásokat hajtsanak végre.
A múltban az ilyen jellegű támadások többsége az NPM repositoryját célozta meg, de a PyPI is komoly célponttá vált eközben. A kutatók 2023 januárjában 41 gyanús PyPI csomagot fedeztek fel, amelyek népszerű HTTP könyvtáraknak adták ki magukat, márciusban pedig egy “termcolour” nevű PyPI csomagot fedezett fel a ReversingLabs, amely egy háromlépcsős letöltő több változatát is tartalmazta.
A kutatók számára az intenzív vizsgálatok ellenére sem világos, hogy mi a célja ezeknek a támadásoknak, legyen szó érzékeny adatok ellopásáról, megfigyelésről, zsarolóprogramok telepítéséről vagy ezek kombinációjáról.
