Ερευνητές στην κυβερνοασφάλεια εντόπισαν ένα κακόβουλο πακέτο Python, το οποίο παρουσιαζόταν ως παρακλάδι της δημοφιλούς βιβλιοθήκης αιτημάτων και βρέθηκε ότι κρύβει μια έκδοση Golang του πλαισίου εντολής και ελέγχου Sliver (C2) μέσα σε μια εικόνα PNG του λογότυπου του project.
Το πακέτο που χρησιμοποιεί την τεχνική steganographic ονομάζεται requests-darwin-lite, στο οποίο έχει γίνει λήψη 417 φορές πριν την απομάκρυνσή του από το επίσημο μητρώο του Python Package Index (PyPI).
Διαβάστε επίσης: Ψεύτικες συνεντεύξεις εργασίας διανέμουν νέο Python RAT
Το “Requests-darwin-lite” αποδείχθηκε μια παραλλαγή του δημοφιλούς πακέτου αιτημάτων, με κάποιες σημαντικές διαφορές. Η πιο ξεχωριστή από αυτές είναι η ενσωμάτωση ενός κακόβουλου δυαδικού Go μέσα σε μια εκτενή έκδοση του λογοτύπου PNG της πλευρικής μπάρας αιτημάτων, όπως ανέφερε η εταιρεία ασφάλειας εφοδιαστικής αλυσίδας Phylum.
Το αρχείο setup.py του πακέτου έχει ενημερωθεί, έτσι ώστε τώρα να μπορεί να αποκωδικοποιεί και να εκτελεί μια εντολή σε κωδικοποίηση Base64, με σκοπό τη συλλογή του Universally Unique Identifier (UUID) του συστήματος.
Σε μια ενδιαφέρουσα ανατρπή, η διαδικασία μόλυνσης εξελίσσεται μόνο όταν το αναγνωριστικό στοιχείο συμπίπτει με μια συγκεκριμένη τιμή. Αυτό υποδηλώνει ότι οι δημιουργοί του κακόβουλου πακέτου στοχεύουν ειδικά ένα σύστημα για το οποίο έχουν ήδη προσδιορίσει το αναγνωριστικό μέσω προηγούμενης διείσδυσης, υποδηλώνοντας μια εξειδικευμένη επίθεση.
Αυτή η κατάσταση δημιουργεί δύο ενδεχόμενα: Είτε αντιμετωπίζουμε μια εξαιρετικά εξειδικευμένη επίθεση είτε μια δοκιμαστική διαδικασία προετοιμασίας για μια πιο εκτεταμένη επιχείρηση.
Εφόσον το UUID συμπίπτει, το requests-darwin-lite προβαίνει στην ανάγνωση δεδομένων από ένα αρχείο PNG με την ονομασία “requests-sidebar-large.png”. Αυτό το αρχείο παρουσιάζει ομοιότητες με ένα νόμιμο πακέτο αιτημάτων που περιέχει ένα αντίστοιχο αρχείο ονομαζόμενο “requests-sidebar.png”.
Το διακριτικό στοιχείο εδώ είναι ότι, ενώ το αρχικό λογότυπο ενσωματωμένο στα αιτήματα έχει μέγεθος μόλις 300 kB, η εκδοχή που περιλαμβάνεται στο requests-darwin-lite φτάνει περίπου τα 17 MB.
Τα δυαδικά δεδομένα που αποκρύπτονται μέσα στην εικόνα PNG αντιστοιχούν στο Sliver, ένα πλαίσιο C2 ανοιχτού κώδικα βασισμένο στην γλώσσα προγραμματισμού Golang, το οποίο έχει σχεδιαστεί για να χρησιμοποιηθεί από επαγγελματίες του κλάδου ασφαλείας στις επιχειρήσεις της κόκκινης ομάδας.
Ο τελικός σκοπός του πακέτου παραμένει ασαφής, ωστόσο, η συνεχιζόμενη ανάπτυξή του αποτελεί ένδειξη ότι τα οικοσυστήματα ανοιχτού κώδικα συνεχίζουν να προσελκύουν το ενδιαφέρον ως πλατφόρμες για τη διάδοση κακόβουλου λογισμικού.
Δείτε ακόμη: Το Telegram διορθώνει zero-day που εκκινεί σενάρια Python
Με την πλειονότητα των λογισμικών να εξαρτώνται από ανοιχτού κώδικα, η συχνή εμφάνιση κακόβουλου λογισμικού σε npm, PyPI και άλλα αποθετήρια πακέτων, ειδικά μετά το πρόσφατο συμβάν με το XZ Utils, υπογραμμίζει την επιτακτική ανάγκη για συστηματική αντιμετώπιση των προβλημάτων. Αυτή η προσέγγιση είναι κρίσιμη για να αποφευχθεί η δυνητική αποσταθεροποίηση σημαντικών τμημάτων του διαδικτύου.
Πηγή: thehackernews
 μέσα σε μια εικόνα PNG του λογότυπου του project.){kind=link}