Złośliwy pakiet Pythona!
Badacze bezpieczeństwa cybernetycznego zidentyfikowali złośliwy pakiet Pythona, który podszywa się pod popularną bibliotekę requests i ukrywa w obrazie PNG loga projektu wersję w języku Go frameworka Sliver do kontroli i zarządzania (C2).
Pakiet wykorzystujący tę steganograficzną sztuczkę nosi nazwę requests-darwin-lite i został pobrany 417 razy przed jego usunięciem z rejestru Python Package Index (PyPI).
Requests-darwin-lite „wydawało się być odgałęzieniem popularnego pakietu requests z kilkoma kluczowymi różnicami, przede wszystkim zawierał złośliwy binarny kod Go ukryty w dużej wersji rzeczywistego loga PNG bocznego paska requests,” powiedziała firma zajmująca się bezpieczeństwem łańcucha dostaw oprogramowania Phylum.
Zmiany zostały wprowadzone w pliku setup.py pakietu, który został skonfigurowany do dekodowania i uruchamiania zaszyfrowanej w Base64 komendy w celu zbierania unikalnego identyfikatora uniwersalnego (UUID) systemu.
W interesującym obrocie spraw, infekcja rozwija się tylko w przypadku, gdy identyfikator pasuje do określonej wartości, co sugeruje, że autorzy pakietu mają na celu atak na konkretną maszynę, do której już posiadają identyfikator uzyskany innymi sposobami.
Rozważane są dwie możliwości: bardzo ukierunkowany atak albo rodzaj testowania przed potencjalnie szerszą kampanią.
Jeśli UUID pasuje, requests-darwin-lite przystępuje do odczytywania danych z pliku PNG o nazwie „requests-sidebar-large.png,” który przypomina oryginalny pakiet requests, zawierający podobny plik o nazwie „requests-sidebar.png.”
Różnica polega na tym, że podczas gdy prawdziwe logo wbudowane w requests ma rozmiar pliku 300 kB, ten zawarty w requests-darwin-lite ma około 17 MB.
Ukryte w obrazie PNG dane binarne to oparty na Go framework Sliver otwarty framework C2, który jest przeznaczony do użytku przez profesjonalistów ds. bezpieczeństwa w operacjach hackerskich.
Dokładny cel pakietu jest obecnie niejasny, ale ten rozwój jest kolejnym znakiem, że ekosystemy open-source nadal są atrakcyjnym wektorem do dystrybucji złośliwego oprogramowania.
Zdecydowana większość baz kodu polega na kodzie open-source, więc ciągłe napływanie złośliwego oprogramowania do npm, PyPI i innych rejestrów pakietów, a także niedawny incydent z XZ Utils, podkreślają konieczność rozwiązania tych problemów w sposób systematyczny, który w przeciwnym razie może „wykoleić duże obszary sieci.”
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.
