![Stilizirana lubanja i prekrižene kosti sastavljene od jedinica i nula.](/f/9dafb9bbb4c925a2a3d3882195a09ab6.jpg)
Istraživači su otkrili još jedan napad na lanac opskrbe usmjeren na repozitorij otvorenog koda, pokazujući da tehnika, koja je dobila široku primjenu u posljednjih nekoliko godina, neće nestati ni u jednom trenutku uskoro.
Ovaj put, repozitorij je bio PyPI, skraćenica za Python Package Index, što je službeni repozitorij softvera za programski jezik Python. Ranije ovog mjeseca, suradnik s korisničkim imenom Lolip0p učitao je tri paketa na PyPI pod nazivom: colorslib, httpslib i libhttps. Suradnik je pazio da prikrije sva tri kao legitimne pakete, u ovom slučaju, kao biblioteke za stvaranje korisničkog sučelja terminala i skupa veza sigurnih za niti. Sva tri paketa reklamirana su kao da pružaju potpunu upotrebljivost.
![Snimka zaslona zlonamjernog PyPI paketa koji se predstavlja kao legitimna ponuda.](/f/df97e8df0e074e733f29ab7eec69cc31.jpg)
![](/f/6437eea9bcb1d6dfa8a0293189f25cec.jpg)
![](/f/039d16376ebd091a6159b8fece7b47c6.jpg)
Istraživači iz sigurnosne tvrtke Fortinet rekao je sva su tri paketa bila zlonamjerna, a skripta setup.py za njih bila je identična. Datoteke su otvorile Powershell prozor i preuzele zlonamjernu datoteku, nazvanu Oxzy.exe, koju su u trenutku otkrića otkrila samo tri pružatelja antimalware programa.
![Snimak zaslona preuzet iz VirusTotal-a koji prikazuje broj otkrivanja.](/f/98cd24fa2599293854874a2f2a098e66.jpg)
ReversingLabs
Oxzy.exe je zauzvrat preuzeo drugu zlonamjernu datoteku pod nazivom Update.exe, koju je otkrilo samo sedam anti-malware mehanizama.
![](/f/2fd8ab3e633c5fa210d16197333a9a5c.jpg)
Posljednja datoteka koja je ispuštena nazvana je SearchProtocolHost.exe, koju je otkrilo devet mehanizama.
![](/f/9709418e0befa18c28d901b3f529a56f.jpg)
Jedan od tih motora bio je Microsoftov Defender. Opis je bio Wacatac.b!ml, komad zlonamjernog softvera za koji je Microsoft rekao da "može izvršiti niz radnji po izboru zlonamjernog hakera na vašem računalu." An analiza tvrtke Trend Micro pokazalo je da trojanac postoji barem od 2019., kada se širio putem piratskog softvera dostupnog na internetu.
Repozitoriji otvorenog koda kao što su PyPI i NPM sve se više koriste kao vektori za instaliranje zlonamjernog softvera putem napada u opskrbnom lancu, koji šire zlonamjerni softver na izvoru legitimnog projekt. Od 2018. do 2021. ova vrsta napada porasla je na NPM gotovo četiri puta i oko pet puta na PyPI, prema zaštitarska tvrtka ReversingLabs. Od siječnja do listopada prošle godine na PyPI je uploadano 1493 zlonamjernih paketa, a na NPM 6977 malicioznih paketa.
Daljnje čitanje
Akteri koji stoje iza napada na lanac opskrbe PyPI-ja aktivni su od kraja 2021"Krajnji korisnici Pythona uvijek bi trebali provesti dubinsku analizu prije preuzimanja i pokretanja bilo kojeg paketa, posebno od novih autora,” napisali su istraživači ReversingLabsa u objavi dokumentirajući najnovije napadi. "I kao što se može vidjeti, objavljivanje više od jednog paketa u kratkom vremenskom razdoblju nije pokazatelj da je autor pouzdan."
Isti savjet treba primijeniti na NPM, RubyGems i gotovo svako drugo spremište otvorenog koda.