Βρέθηκε ότι κακόβουλα αρχεία Python ανοικτού κώδικα .whl (Wheel) διανέμουν ένα νέο malware με την ονομασία KEKW, το οποίο μπορεί να υποκλέψει ευαίσθητες πληροφορίες από μολυσμένα συστήματα ενσωματώνοντας δραστηριότητες clipper με infostealers προκειμένου να υποκλέψει συναλλαγές κρυπτονομισμάτων.

Σε μια ανάρτηση στο blog στις 3 Μαΐου, η Cyble Research and Intelligence Labs (CRIL) εξήγησε ότι τα πακέτα Python που εξετάζονται δεν υπήρχαν στο πραγματικό αποθετήριο PyPI (Python Package Index), υποδεικνύοντας ότι η ομάδα ασφαλείας της Python είχε αφαιρέσει τα κακόβουλα πακέτα.

Η CRIL επαλήθευσε με την ομάδα ασφαλείας της Python στις 2 Μαΐου ότι η ομάδα ασφαλείας κατέβασε τα κακόβουλα πακέτα εντός 48 ωρών από τη μεταφόρτωσή τους. Δεδομένου ότι τα κακόβουλα πακέτα απομακρύνθηκαν γρήγορα, η CRIL δήλωσε ότι ήταν αδύνατο να προσδιοριστεί πόσοι άνθρωποι τα είχαν κατεβάσει. Παρόλα αυτά, θεώρησαν ότι ο αντίκτυπος του περιστατικού ήταν πιθανότατα ελάχιστος.

Το περιστατικό αναδεικνύει ένα διαρκές ζήτημα για την κοινότητα ανοιχτού κώδικα. Το PyPI έχει γίνει ένα ευρέως χρησιμοποιούμενο αποθετήριο για πακέτα λογισμικού που χρησιμοποιούν τη γλώσσα προγραμματισμού Python. Οι προγραμματιστές το χρησιμοποιούν για κοινή χρήση και λήψη κώδικα Python. Λόγω της ευρείας χρήσης του PyPI, έχει γίνει πλέον επιθυμητός στόχος για τους απειλητικούς παράγοντες που θέλουν να επιτεθούν σε προγραμματιστές.

Οι ερευνητές της CRIL λένε ότι τα κακόβουλα πακέτα συνήθως μεταφορτώνονται είτε μεταμφιέζοντας τα ως χρήσιμο λογισμικό είτε μιμούμενοι γνωστά projects και αλλάζοντας τα ονόματά τους. Στο παρελθόν, η CRIL έχει αντιμετωπίσει πολλές περιπτώσεις όπου επιτιθέμενοι χρησιμοποίησαν πακέτα PyPI για τη διανομή ωφέλιμων φορτίων κακόβουλου λογισμικού, ενώ έχει αυξηθεί και η συχνότητα διάδοσης infostealers μέσω κακόβουλων πακέτων PyPI.

Ο Scott Gerlach, συνιδρυτής και CSO της StackHawk είπε ότι η κατάληψη εγκαταλελειμμένων έργων, η πλαστογράφηση ονομάτων και τα κακόβουλα contributions είναι μερικοί τρόποι με τους οποίους οι επιτιθέμενοι εκμεταλλεύονται ομάδες με περιορισμένους πόρους που παρέχουν αυτά τα pipelines.

Ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, πρόσθεσε ότι η περίπτωση που ανέφερε η Cyble αποτελεί ένα καλό παράδειγμα του είδους των επιθέσεων στην αλυσίδα εφοδιασμού που προτιμούν τώρα τελευταία οι απειλητικοί παράγοντες. Ο Parkin δήλωσε επίσης ότι αποτελεί ένα καλό παράδειγμα της σωστής αντίδρασης της ομάδας που διαχειρίζεται το repository, η οποία εντόπισε και αφαίρεσε γρήγορα τα offending αρχεία.

Πηγή: scmagazine.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *


Διαβάστε επίσης

Διαζύγιο Messenger και Instagram για άλλη μια φορά

Η Meta προχόρησε σε ανακοίνωση, κάνοντας γνωστό πως η συνεργασία Instagram και Messenger στην διανομή μηνυμάτων έρχεται στο τέλος της και πλέον οι χρήστες δεν θα μπορούν να βλέπουν τα μηνύματά τους από το Instagram μέσα από την εφαρμογή του Messenger.

Περισσότερα

Η Meta χρησιμοποιεί δεδομένα χρηστών για να εκπαιδεύσει την AI, εκτός πεδίου οι Ευρωπαίοι

Φαίνεται ότι η Meta, μεταξύ άλλων, χρησιμοποιεί τα δεδομένα των χρηστών για την εκπαίδευση AI μοντέλων. Η Ευρώπη θέτει όρια.

Περισσότερα

Το Magecart malware χτυπά ξανά και ξανά σε e-commerce websites

Το shopping cart malware, γνωστό ως Magecart, εξακολουθεί να είναι ένα από τα πιο δημοφιλή εργαλεία στην εργαλειοθήκη των επιτιθέμενων, και παρά τις προσπάθειες για τον μετριασμό και την εξάλειψη της παρουσίας του, παραμένει φουλ ενεργό.

Περισσότερα