Βρέθηκε ότι κακόβουλα αρχεία Python ανοικτού κώδικα .whl (Wheel) διανέμουν ένα νέο malware με την ονομασία KEKW, το οποίο μπορεί να υποκλέψει ευαίσθητες πληροφορίες από μολυσμένα συστήματα ενσωματώνοντας δραστηριότητες clipper με infostealers προκειμένου να υποκλέψει συναλλαγές κρυπτονομισμάτων.

Σε μια ανάρτηση στο blog στις 3 Μαΐου, η Cyble Research and Intelligence Labs (CRIL) εξήγησε ότι τα πακέτα Python που εξετάζονται δεν υπήρχαν στο πραγματικό αποθετήριο PyPI (Python Package Index), υποδεικνύοντας ότι η ομάδα ασφαλείας της Python είχε αφαιρέσει τα κακόβουλα πακέτα.

Η CRIL επαλήθευσε με την ομάδα ασφαλείας της Python στις 2 Μαΐου ότι η ομάδα ασφαλείας κατέβασε τα κακόβουλα πακέτα εντός 48 ωρών από τη μεταφόρτωσή τους. Δεδομένου ότι τα κακόβουλα πακέτα απομακρύνθηκαν γρήγορα, η CRIL δήλωσε ότι ήταν αδύνατο να προσδιοριστεί πόσοι άνθρωποι τα είχαν κατεβάσει. Παρόλα αυτά, θεώρησαν ότι ο αντίκτυπος του περιστατικού ήταν πιθανότατα ελάχιστος.

Το περιστατικό αναδεικνύει ένα διαρκές ζήτημα για την κοινότητα ανοιχτού κώδικα. Το PyPI έχει γίνει ένα ευρέως χρησιμοποιούμενο αποθετήριο για πακέτα λογισμικού που χρησιμοποιούν τη γλώσσα προγραμματισμού Python. Οι προγραμματιστές το χρησιμοποιούν για κοινή χρήση και λήψη κώδικα Python. Λόγω της ευρείας χρήσης του PyPI, έχει γίνει πλέον επιθυμητός στόχος για τους απειλητικούς παράγοντες που θέλουν να επιτεθούν σε προγραμματιστές.

Οι ερευνητές της CRIL λένε ότι τα κακόβουλα πακέτα συνήθως μεταφορτώνονται είτε μεταμφιέζοντας τα ως χρήσιμο λογισμικό είτε μιμούμενοι γνωστά projects και αλλάζοντας τα ονόματά τους. Στο παρελθόν, η CRIL έχει αντιμετωπίσει πολλές περιπτώσεις όπου επιτιθέμενοι χρησιμοποίησαν πακέτα PyPI για τη διανομή ωφέλιμων φορτίων κακόβουλου λογισμικού, ενώ έχει αυξηθεί και η συχνότητα διάδοσης infostealers μέσω κακόβουλων πακέτων PyPI.

Ο Scott Gerlach, συνιδρυτής και CSO της StackHawk είπε ότι η κατάληψη εγκαταλελειμμένων έργων, η πλαστογράφηση ονομάτων και τα κακόβουλα contributions είναι μερικοί τρόποι με τους οποίους οι επιτιθέμενοι εκμεταλλεύονται ομάδες με περιορισμένους πόρους που παρέχουν αυτά τα pipelines.

Ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, πρόσθεσε ότι η περίπτωση που ανέφερε η Cyble αποτελεί ένα καλό παράδειγμα του είδους των επιθέσεων στην αλυσίδα εφοδιασμού που προτιμούν τώρα τελευταία οι απειλητικοί παράγοντες. Ο Parkin δήλωσε επίσης ότι αποτελεί ένα καλό παράδειγμα της σωστής αντίδρασης της ομάδας που διαχειρίζεται το repository, η οποία εντόπισε και αφαίρεσε γρήγορα τα offending αρχεία.

Πηγή: scmagazine.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *


Διαβάστε επίσης

New Phishing-as-a-Service Platform Lets Cybercriminals Generate Convincing Phishing Pages

A new phishing-as-a-service (PhaaS or PaaS) platform named Greatness has been leveraged by cybercriminals to target business users of the Microsoft 365 cloud service since at least mid-2022, effectively lowering the bar to entry for phishing attacks.

Περισσότερα

Google Chrome: Θα συνοψίζει ολόκληρα άρθρα για εσάς με ενσωματωμένο generative AI

Το Search Generative Experience (SGE) της Google που λειτουργεί με τεχνητή νοημοσύνη αποκτά ένα σημαντικό νέο χαρακτηριστικό: θα μπορεί να συνοψίζει τα άρθρα που διαβάζετε στο διαδίκτυο, σύμφωνα με μια ανάρτηση στο blog της Google.

Περισσότερα

Have I Been Pwned: 284 εκατ. λογαριασμοί κλάπηκαν μέσω info-stealer malware

Η υπηρεσία ειδοποίησης παραβίασης δεδομένων Have I Been Pwned έχει προσθέσει πάνω από 284 εκατομμύρια λογαριασμούς που έχουν κλαπεί από info-stealer malware.

Περισσότερα