Os investigadores fornecem
exemplos visuais de pacotes maliciosos encontradas
Os ataques dependem do facto de o
processo de instalação do Python poder incluir trechos arbitrários de código
Os investigadores alertaram PyPI
cujos últimos removeram estes pacotes
Os investigadores da Spectralops.io, uma empresa da Check Point Software, detetaram dez pacotes maliciosos em PyPI, um
repositório de software para a linguagem de programação Python. Os atacantes
executam códigos maliciosos em máquinas alvo, enganando os utilizadores através
de nomes e descrições enganosas de pacotes familiares. A instalação de pacotes
maliciosos permite aos atacantes roubar dados privados e credenciais pessoais
dos programadores. O PyPI tem mais de 609.020 utilizadores ativos, trabalhando
em 388.565 projetos, com 3.630.725 lançamentos.
O PyPI ajuda os programadores a encontrar e instalar software desenvolvido e partilhado por outros programadores desta comunidade. De acordo com o seu próprio website, PyPI tem mais de 609.020 utilizadores ativos, trabalhando em 388.565 projetos, com 3.630.725 lançamentos.
Para executar os seus ataques, os ciber-criminosos enganarão os utilizadores na instalação de um pacote malicioso, utilizando nomes e descrições enganosas. Como parte do script de instalação, os pacotes maliciosos executam um ato malicioso, tal como roubar as credenciais dos utilizadores. O código malicioso termina enviando as credenciais que rouba para outro lugar. Em última análise, os utilizadores não estão cientes de que tudo isto acabou de acontecer.
Pacotes maliciosos
Check Point Research (CPR) fornece detalhes sobre
os pacotes que detetaram.
·
Ascii2text. O código era responsável por descarregar e executar um script malicioso
que procura senhas locais e carrega-as usando um gancho web de discórdia.
·
Pyg-utils, Pymocks e PyProto2. Como parte da sua instalação setup.py, Pyg-utils
liga-se a um domínio malicioso (pygrata.com) que poderia ser uma
infra-estrutura para um ataque de phishing. Pymocks e PyProto2 têm,
curiosamente, código quase idêntico que visa um domínio diferente -
pymocks.com.
·
Test-async. Described in its description as a ‘very cool test package that
is extremely useful and that everyone needs 100%’. In its setup.py installation
script it downloads and executes, probably malicious, code from the web.
Interestingly, prior to downloading that snippet, it notifies a Discord channel
that a ‘new run’ was started.
·
Free-net-vpn e Free-net-vpn2 são pacotes maliciosos que visam variáveis de
ambiente. Estes segredos são então publicados para um sítio mapeado por um
serviço dinâmico de mapeamento DNS.
·
Zlibsrc, provavelmente para tentar confundir os utilizadores de PyPI com o
popular pacote Python integrado na zlib.
·
Browserdiv, rouba as credenciais dos instaladores e envia para um web hook no
Discord como parte do processo de instalação.
·
WINRPCexpoit, descreve-se a si próprio como um "pacote para explorar as vulnerabilidades
RPC do Windows" enquanto na realidade, apenas rouba as credenciais do
instalador.
Exemplo visual
Ascii2text é um pacote malicioso.
A falsa descrição ascii2text VS a descrição original do pacote
Divulgação
responsável
Uma vez
detetada, o CPR divulgou a informação e alertou o PyPI sobre estes pacotes, que
mais tarde foi removido pelo PyPI.
O que é notável aqui é o quão comuns são estes pacotes maliciosos. Eles são simples, mas perigosos. Pessoalmente, assim que encontrei estes tipos de ataques, comecei a verificar duas vezes cada pacote Python que utilizo. Por vezes até o descarrego e observo manualmente o seu código antes de o instalar". Ori Abramovsky, Data Science Lead na Spectralops.io
Post A Comment:
0 comments: