Više zlonamjernih paketa objavljeno u mrežnom repozitoriju. Ovaj put je to PyPI

Istraživači su otkrili još jedan napad na lanac opskrbe usmjeren na repozitorij otvorenog koda, pokazujući da tehnika, koja je dobila široku primjenu u posljednjih nekoliko godina, neće nestati ni u jednom trenutku uskoro.

Ovaj put, repozitorij je bio PyPI, skraćenica za Python Package Index, što je službeni repozitorij softvera za programski jezik Python. Ranije ovog mjeseca, suradnik s korisničkim imenom Lolip0p učitao je tri paketa na PyPI pod nazivom: colorslib, httpslib i libhttps. Suradnik je pazio da prikrije sva tri kao legitimne pakete, u ovom slučaju, kao biblioteke za stvaranje korisničkog sučelja terminala i skupa veza sigurnih za niti. Sva tri paketa reklamirana su kao da pružaju potpunu upotrebljivost.

Istraživači iz sigurnosne tvrtke Fortinet rekao je sva su tri paketa bila zlonamjerna, a skripta setup.py za njih bila je identična. Datoteke su otvorile Powershell prozor i preuzele zlonamjernu datoteku, nazvanu Oxzy.exe, koju su u trenutku otkrića otkrila samo tri pružatelja antimalware programa.

Oxzy.exe je zauzvrat preuzeo drugu zlonamjernu datoteku pod nazivom Update.exe, koju je otkrilo samo sedam anti-malware mehanizama.

Posljednja datoteka koja je ispuštena nazvana je SearchProtocolHost.exe, koju je otkrilo devet mehanizama.

Jedan od tih motora bio je Microsoftov Defender. Opis je bio Wacatac.b!ml, komad zlonamjernog softvera za koji je Microsoft rekao da "može izvršiti niz radnji po izboru zlonamjernog hakera na vašem računalu." An analiza tvrtke Trend Micro pokazalo je da trojanac postoji barem od 2019., kada se širio putem piratskog softvera dostupnog na internetu.

Repozitoriji otvorenog koda kao što su PyPI i NPM sve se više koriste kao vektori za instaliranje zlonamjernog softvera putem napada u opskrbnom lancu, koji šire zlonamjerni softver na izvoru legitimnog projekt. Od 2018. do 2021. ova vrsta napada porasla je na NPM gotovo četiri puta i oko pet puta na PyPI, prema zaštitarska tvrtka ReversingLabs. Od siječnja do listopada prošle godine na PyPI je uploadano 1493 zlonamjernih paketa, a na NPM 6977 malicioznih paketa.

Prošlog rujna eskalirali su napadi na lanac opskrbe PyPI-jem. Aktivator prijetnje pokrenuo je napad krađe vjerodajnice na suradnike PyPI-ja i, kada je uspio, upotrijebio je pristup kompromitirane račune za objavljivanje zlonamjernog softvera koji se predstavljao kao najnovije izdanje za legitimne projekte povezane s račun. Legitimni projekti uključeni Exotel i Spam. Za razliku od zlonamjernih paketa koji su koristili imena koja su izgledala slična dobro poznatim projektima, ovi su napadi uspjeli zatrovati službeni izvor projekta koji se koristi godinama. Prijetnja koja stoji iza napada ima bio aktivan barem od 2021.

"Krajnji korisnici Pythona uvijek bi trebali provesti dubinsku analizu prije preuzimanja i pokretanja bilo kojeg paketa, posebno od novih autora,” napisali su istraživači ReversingLabsa u objavi dokumentirajući najnovije napadi. "I kao što se može vidjeti, objavljivanje više od jednog paketa u kratkom vremenskom razdoblju nije pokazatelj da je autor pouzdan."

Isti savjet treba primijeniti na NPM, RubyGems i gotovo svako drugo spremište otvorenog koda.