Chatroom Rules

[Benzersiz 688]

Το μητρώο Python Package Index (PyPI) έχει αφαιρέσει τρία κακόβουλα πακέτα Python που στοχεύουν στην εξερεύνηση μεταβλητών περιβάλλοντος και στα dropping trojans στους μολυσμένους υπολογιστές.

Αυτά τα κακόβουλα πακέτα εκτιμάται ότι έχουν δημιουργήσει πάνω από 10.000 λήψεις και καθρέφτες μαζί, σύμφωνα με την έκθεση των ερευνητών.

Δείτε επίσης: Facebook: Έχει αφαιρέσει 18 εκατομμύρια posts παραπληροφόρησης σχετικά με τον COVID-19

Στατική ανάλυση μεγάλης κλίμακας οδήγησε σε μια κακόβουλη ανακάλυψη

Αυτή την εβδομάδα, ο Andrew Scott, προγραμματιστής και ανώτερος διευθυντής προϊόντων στην Palo Alto Networks, ανέφερε ότι ανακάλυψε τρία κακόβουλα πακέτα Python στο μητρώο ανοιχτού κώδικα PyPI.

Αυτά τα κακόβουλα πακέτα, που φαίνονται παρακάτω, έχουν ληφθεί συνολικά και έχουν γίνει mirror σχεδόν 15.000 φορές.

Η πρώτη έκδοση του dpp-client εμφανίστηκε στο PyPI γύρω στις 13 Φεβρουαρίου 2021 και αυτή για το dpp-client1234 στις 14. Ενώ, η πρώτη έκδοση του aws-login0tool εμφανίστηκε πιο πρόσφατα, την 1η Δεκεμβρίου.

Ενώ εκτελούσε μεγάλης κλίμακας στατική ανάλυση “ένα μεγάλο ποσοστό των πακέτων στο PyPI”, ο Scott συνάντησε αυτά τα πακέτα με μυστηριώδη εμφάνιση.

Δείτε επίσης: Facebook: Καταπολεμά το hate speech μόνο στην αγγλική γλώσσα

Για να βοηθήσει στην έρευνά του, ο Scott χρησιμοποίησε το έργο ανοιχτού κώδικα Bandersnatch της Python Packaging Authority.

Μετά την εξαγωγή των πακέτων, ο προγραμματιστής εκτέλεσε μια σειρά από λειτουργίες αναζήτησης που βασίζονται σε συμβολοσειρά και regex μέσω του βοηθητικού προγράμματος grep και εξέτασε με μη αυτόματο τρόπο τα αποτελέσματα.

Στοχεύει υπολογιστές με Windows, διανομές Linux που εκτελούν Apache Mesos

Το πακέτο aws-login0tool στοχεύει μηχανές Windows και πραγματοποιεί λήψη ενός κακόβουλου εκτελέσιμου 64-bit, normal.exe από το domain tryg[.]ga.

Το κακόβουλο εκτελέσιμο έχει αναγνωριστεί ως trojan από το 38% των μηχανών προστασίας από ιούς στο VirusTotal, από τη στιγμή που γράφτηκε:

Αντίθετα, το dpp-client και το dpp-client1234 στοχεύουν συστήματα Linux και κοιτάζουν σε μεταβλητές περιβάλλοντος, directory listing και κάνουν exfiltrate αυτές τις πληροφορίες στο domain pt.traktrain[.]com.

Αυτά τα πακέτα προσπαθούν να διερευνήσουν ορισμένα directories, συμπεριλαμβανομένου του /mnt/mesos, υποδεικνύοντας ότι το malware αναζητά συγκεκριμένα αρχεία που σχετίζονται με το Apache Mesos, ένα προϊόν διαχείρισης συμπλέγματος ανοιχτού κώδικα.

Αυτό που παραμένει μυστήριο είναι ένας μεγάλος αριθμός downloads και mirrors για αυτά τα πακέτα.

Με μια πρώτη ματιά, το aws-login0tool φαίνεται να είναι μια προσπάθεια typosquatting, όπως επισημαίνει ο developer — τα πλήκτρα ‘0’ και ‘-‘ υπάρχουν το ένα δίπλα στο άλλο στα περισσότερα πληκτρολόγια. Ωστόσο, το BleepingComputer δεν γνωρίζει ένα ενεργό πακέτο PyPI με το όνομα ‘aws-login-tool’ που ένας έξυπνος εισβολέας μπορεί να μπει στον πειρασμό να υποδυθεί. Αν και μπορεί να υπήρχε και στο παρελθόν.

Δείτε επίσης: Amazon Fire TV: Πώς να εκκαθαρίσετε την προσωρινή μνήμη

Το BleepingComputer παρατήρησε τη σελίδα PyPI για το aws-login0tool, όταν ήταν ζωντανή, περιείχε μια ρητή δήλωση αποποίησης ευθύνης που καθοδηγούσε τον χρήστη να μην κατεβάσει το πακέτο:

“Παρακαλώ μην το χρησιμοποιείς αυτό… Κάνει άσχημα πράγματα… Ω, αγαπητέ :(“

Ομοίως, τα project pages για πακέτα dpp-client και dpp-client1234, όπως φαίνεται από το BleepingComputer, περιείχαν μια απλή λέξη-κλειδί “δοκιμής” στην περιγραφή τους, υπονοώντας ότι ήταν, μέρος μιας άσκησης proof-of-concept.

Αυτό το development ακολουθεί συνεχείς περιπτώσεις malware και ανεπιθύμητου περιεχομένου που στοχεύει repositories ανοιχτού κώδικα όπως τα PyPI, npm και RubyGems.

Τον περασμένο μήνα, η ερευνητική ομάδα ασφαλείας της JFrog είχε αναφέρει ότι εντόπισε κλέφτες πληροφοριών Discord μεταξύ άλλων κακόβουλων πακέτων PyPI που έκαναν κατάχρηση μιας τεχνικής «novel exfiltration».

Τον ίδιο μήνα, ένα κακόβουλο πακέτο PyPI έκανε μια απόπειρα typosquatting του ‘boto3’—του Amazon Web Services SDK για Python.

Τον Ιούλιο του τρέχοντος έτους, έξι κακόβουλα πακέτα PyPI εντοπίστηκαν να κάνουν mining κρυπτονομίσματα σε μηχανές προγραμματιστών.

Ευτυχώς, τα τρία προαναφερθέντα πακέτα που ανακαλύφθηκαν από τον Scott αναφέρθηκαν στους διαχειριστές του PyPI στις 10 Δεκεμβρίου και αφαιρέθηκαν γρήγορα.

Πηγή πληροφοριών: bleepingcomputer.com