Βρέθηκε ότι κακόβουλα αρχεία Python ανοικτού κώδικα .whl (Wheel) διανέμουν ένα νέο malware με την ονομασία KEKW, το οποίο μπορεί να υποκλέψει ευαίσθητες πληροφορίες από μολυσμένα συστήματα ενσωματώνοντας δραστηριότητες clipper με infostealers προκειμένου να υποκλέψει συναλλαγές κρυπτονομισμάτων.

Σε μια ανάρτηση στο blog στις 3 Μαΐου, η Cyble Research and Intelligence Labs (CRIL) εξήγησε ότι τα πακέτα Python που εξετάζονται δεν υπήρχαν στο πραγματικό αποθετήριο PyPI (Python Package Index), υποδεικνύοντας ότι η ομάδα ασφαλείας της Python είχε αφαιρέσει τα κακόβουλα πακέτα.

Η CRIL επαλήθευσε με την ομάδα ασφαλείας της Python στις 2 Μαΐου ότι η ομάδα ασφαλείας κατέβασε τα κακόβουλα πακέτα εντός 48 ωρών από τη μεταφόρτωσή τους. Δεδομένου ότι τα κακόβουλα πακέτα απομακρύνθηκαν γρήγορα, η CRIL δήλωσε ότι ήταν αδύνατο να προσδιοριστεί πόσοι άνθρωποι τα είχαν κατεβάσει. Παρόλα αυτά, θεώρησαν ότι ο αντίκτυπος του περιστατικού ήταν πιθανότατα ελάχιστος.

Το περιστατικό αναδεικνύει ένα διαρκές ζήτημα για την κοινότητα ανοιχτού κώδικα. Το PyPI έχει γίνει ένα ευρέως χρησιμοποιούμενο αποθετήριο για πακέτα λογισμικού που χρησιμοποιούν τη γλώσσα προγραμματισμού Python. Οι προγραμματιστές το χρησιμοποιούν για κοινή χρήση και λήψη κώδικα Python. Λόγω της ευρείας χρήσης του PyPI, έχει γίνει πλέον επιθυμητός στόχος για τους απειλητικούς παράγοντες που θέλουν να επιτεθούν σε προγραμματιστές.

Οι ερευνητές της CRIL λένε ότι τα κακόβουλα πακέτα συνήθως μεταφορτώνονται είτε μεταμφιέζοντας τα ως χρήσιμο λογισμικό είτε μιμούμενοι γνωστά projects και αλλάζοντας τα ονόματά τους. Στο παρελθόν, η CRIL έχει αντιμετωπίσει πολλές περιπτώσεις όπου επιτιθέμενοι χρησιμοποίησαν πακέτα PyPI για τη διανομή ωφέλιμων φορτίων κακόβουλου λογισμικού, ενώ έχει αυξηθεί και η συχνότητα διάδοσης infostealers μέσω κακόβουλων πακέτων PyPI.

Ο Scott Gerlach, συνιδρυτής και CSO της StackHawk είπε ότι η κατάληψη εγκαταλελειμμένων έργων, η πλαστογράφηση ονομάτων και τα κακόβουλα contributions είναι μερικοί τρόποι με τους οποίους οι επιτιθέμενοι εκμεταλλεύονται ομάδες με περιορισμένους πόρους που παρέχουν αυτά τα pipelines.

Ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, πρόσθεσε ότι η περίπτωση που ανέφερε η Cyble αποτελεί ένα καλό παράδειγμα του είδους των επιθέσεων στην αλυσίδα εφοδιασμού που προτιμούν τώρα τελευταία οι απειλητικοί παράγοντες. Ο Parkin δήλωσε επίσης ότι αποτελεί ένα καλό παράδειγμα της σωστής αντίδρασης της ομάδας που διαχειρίζεται το repository, η οποία εντόπισε και αφαίρεσε γρήγορα τα offending αρχεία.

Πηγή: scmagazine.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Η Apple προειδοποιεί για βλάβες από τη χρήση μη πιστοποιημένων αξεσουάρ

Πρόσφατα, η Apple κυκλοφόρησε ένα έγγραφο υποστήριξης που προειδοποιεί τους πελάτες κατά της χρήσης φορτιστών και καλωδίων από άλλες μάρκες.

Skuld malware: Κλέβει Discord και Browser data από Windows PCs

Ένα νέο κακόβουλο λογισμικό, το Skuld, έχει προσβάλει συστήματα Windows σε όλη την Ευρώπη, τη Νοτιοανατολική Ασία και τις ΗΠΑ.

Διέρρευσαν δισεκατομμύρια passwords online 

Τα ονόματα χρήστη και οι κωδικοί πρόσβασης δισεκατομμυρίων χρηστών έχουν αποκαλυφθεί στο διαδίκτυο αφού η εταιρεία προστασίας ψηφιακών κινδύνων DarkBeam άφησε μια διαδικτυακή βάση δεδομένων απροστάτευτη.