11 κακόβουλες βιβλιοθήκες PyPI Python που έχουν πιαστεί να κλέβουν Discord tokens και να εγκαθιστούν Shells
Ερευνητές κυβερνοασφάλειας ανακάλυψαν έως και 11 κακόβουλα πακέτα Python που έχουν ληφθεί σωρευτικά περισσότερες από 41.000 φορές από το repository Python Package Index (PyPI) και θα μπορούσαν να χρησιμοποιηθούν για να κλέψουν tokens πρόσβασης Discord, κωδικούς πρόσβασης, ακόμη και να προκαλέσουν tage dependency confusion attacks.
Τα πακέτα Python έχουν αφαιρεθεί από το repository μετά από υπεύθυνη αποκάλυψη από την εταιρεία DevOps JFrog —
- importantpackage / important-package
- pptest
- ipboards
- owlmoon
- DiscordSafety
- trrfab
- 10Cent10 / 10Cent11
- yandex-yt
- yiffparty
Δύο από τα πακέτα ("importantpackage", "10Cent10" και οι παραλλαγές τους) βρέθηκαν να αποκτούν ένα reverse shell στο παραβιασμένο μηχάνημα, δίνοντας στον εισβολέα τον πλήρη έλεγχο ενός μολυσμένου μηχανήματος. Δύο άλλα πακέτα "ipboards" και "trrfab" μεταμφιέζονται ως νόμιμες εξαρτήσεις που έχουν σχεδιαστεί για να εισάγονται αυτόματα εκμεταλλευόμενοι μια τεχνική που ονομάζεται σύγχυση εξάρτησης ή σύγχυση χώρου ονομάτων (dependency confusion or namespace confusion).
Σε αντίθεση με τις επιθέσεις typosquatting, όπου ένας κακόβουλος actor εσκεμμένα δημοσιεύει πακέτα με ανορθόγραφα ονόματα δημοφιλών παραλλαγών, η σύγχυση εξαρτήσεων λειτουργεί μεταφορτώνοντας poisoned στοιχεία με ονόματα που είναι ίδια με τα νόμιμα σε δημόσια repositories, αλλά με υψηλότερη έκδοση, επιβάλλοντας ουσιαστικά το πακέτο του στόχου διαχειριστή για λήψη και εγκατάσταση της κακόβουλης μονάδας.
Το "σημαντικό πακέτο" εξάρτησης, ξεχωρίζει επίσης για τον νέο μηχανισμό διείσδυσης και την αποφυγή ανίχνευσης βάσει δικτύου, ο οποίος περιλαμβάνει τη χρήση του δικτύου παράδοσης περιεχομένου (CDN) της Fastly για να κρύψει τις επικοινωνίες του με τον διακομιστή που ελέγχεται από τον εισβολέα ως επικοινωνία με το pypi[.]org.
Ο κακόβουλος κώδικας "προκαλεί την αποστολή ενός αιτήματος HTTPS στο pypi.python[.]org (το οποίο δε διακρίνεται από ένα νόμιμο αίτημα στο PyPI), το οποίο αργότερα αναδρομολογείται από το CDN ως αίτημα HTTP στο [command-and-control ] διακομιστή», εξήγησαν οι ερευνητές του JFrog Andrey Polkovnychenko και Shachar Menashe.
Τέλος, τόσο τα "ipboards" και ένα πέμπτο πακέτο με το όνομα "pptest" ανακαλύφθηκαν χρησιμοποιώντας το DNS tunneling ως μέθοδο εξαγωγής δεδομένων, βασιζόμενη σε αιτήματα DNS ως κανάλι επικοινωνίας μεταξύ του μηχανήματος-θύματος και του απομακρυσμένου διακομιστή.
Οι προσπάθειες στόχευσης δημοφιλών code registries όπως το registry JavaScript του Node Package Manager (NPM), το PyPI και το RubyGems έχουν γίνει συνηθισμένες και αποτελούν ένα νέο frontier για μια σειρά επιθέσεων.
«Οι διαχειριστές πακέτων είναι ένας αυξανόμενος και ισχυρός φορέας για την ακούσια εγκατάσταση κακόβουλου κώδικα και […] οι εισβολείς γίνονται πιο εξελιγμένοι στην προσέγγισή τους», δήλωσε ο Menashe, ανώτερος διευθυντής έρευνας του JFrog. Οι προηγμένες τεχνικές φοροδιαφυγής που χρησιμοποιούνται σε αυτά τα πακέτα κακόβουλου λογισμικού, όπως το νέο exfiltration ή ακόμα και το DNS tunneling σηματοδοτούν μια ανησυχητική τάση ότι οι εισβολείς γίνονται πιο κρυφοί στις επιθέσεις τους σε λογισμικό ανοιχτού κώδικα».
Πράγματι, αφού τουλάχιστον τρεις λογαριασμοί προγραμματιστών NPM παραβιάστηκαν από κακούς παράγοντες για την εισαγωγή κακόβουλου κώδικα σε δημοφιλή πακέτα "ua-parser-js", "coa" και "rc", το GitHub νωρίτερα αυτή την εβδομάδα περιέγραψε σχέδια για να ενισχύσει την ασφάλεια του registry NPM απαιτώντας έλεγχο ταυτότητας δύο παραγόντων (2FA) για συντηρητές και διαχειριστές από το πρώτο τρίμηνο του 2022.
Η ανάπτυξη έρχεται καθώς η πλατφόρμα ανάπτυξης λογισμικού και ελέγχου εκδόσεων αποκάλυψε ότι αντιμετώπισε πολλαπλά ελαττώματα στο μητρώο NPM που θα μπορούσαν να διαρρεύσουν τα ονόματα των ιδιωτικών πακέτων και να επιτρέψουν στους εισβολείς να παρακάμπτουν τον έλεγχο ταυτότητας και να δημοσιεύουν εκδόσεις οποιουδήποτε πακέτου χωρίς να απαιτείται εξουσιοδότηση.