Hackers ανέβασαν κακόβουλα πακέτα Python στο αποθετήριο PyPI και τα προώθησαν μέσω της διαδικτυακής πλατφόρμας ερωτήσεων και απαντήσεων του StackExchange.
Δείτε επίσης: Hackers στοχεύουν προγραμματιστές Python με ψεύτικο πακέτο “Crytic-Compilers” στο PyPI
Τα κακόβουλα πακέτα PyPI, ονομάζονται «spl-types», «raydium», «sol-structs», «sol-instruct» και «raydium-sdk» και κατεβάζουν σενάρια που κλέβουν ευαίσθητα δεδομένα από το πρόγραμμα περιήγησης, τις εφαρμογές ανταλλαγής μηνυμάτων (Telegram, Signal, Session) και λεπτομέρειες πορτοφολιού κρυπτονομισμάτων (Exodus, Electrum, Monero).
Το κακόβουλο λογισμικό κλοπής πληροφοριών μπορεί επίσης να διεισδύσει σε αρχεία με συγκεκριμένες λέξεις-κλειδιά, καθώς και να τραβήξει στιγμιότυπα οθόνης και να στείλει όλα τα δεδομένα σε ένα κανάλι Telegram.
Ερευνητές στην εταιρεία δοκιμών ασφαλείας εφαρμογών Checkmarx λένε ότι ενώ τα πακέτα μεταφορτώθηκαν στο PyPI στις 25 Ιουνίου, έλαβαν το κακόβουλο στοιχείο σε μια ενημέρωση στις 3 Ιουλίου. Τα πακέτα δεν είναι πλέον στο PyPI και έχουν ήδη ληφθεί 2082 φορές.
Σύμφωνα με την έρευνα της Checkmarx, οι επιτιθέμενοι στόχευαν συγκεκριμένα χρήστες που εμπλέκονται στα έργα blockchain Raydium και Solana.
Το γεγονός ότι το Raydium δεν διαθέτει βιβλιοθήκη Python δημιούργησε μια ευκαιρία εκμετάλλευσης για τους εισβολείς, οι οποίοι χρησιμοποίησαν το όνομα για το πακέτο τους χωρίς να χρειάζεται να καταφύγουν σε typosquatting ή άλλες τεχνικές εξαπάτησης.
Για να προωθήσουν τα κακόβουλα πακέτα PyPI στους σωστούς στόχους, οι εισβολείς δημιούργησαν λογαριασμούς στο StackExchange και άφησαν σχόλια κάτω από δημοφιλή νήματα που περιέχουν συνδέσμους προς τα κακόβουλα πακέτα.
Δείτε ακόμα: Πακέτο PyPi χρησιμοποιείται ως backdoor σε συκευές macOS
Τα επιλεγμένα θέματα σχετίζονταν με τα ονόματα των πακέτων και οι απαντήσεις που δόθηκαν ήταν υψηλής ποιότητας, επομένως τα θύματα μπορούσαν να μπουν στον πειρασμό να κατεβάσουν τα επικίνδυνα πακέτα.
Με περισσότερες από δύο χιλιάδες πιθανές μολύνσεις, η εκτίμηση του αντίκτυπου αυτής της εκστρατείας είναι δύσκολη, αλλά οι ερευνητές της Checkmarx παρουσίασαν μερικά παραδείγματα θυμάτων στην έκθεσή τους.
Μια περίπτωση αφορά έναν υπάλληλο IT στον οποίο το πορτοφόλι κρυπτονομίσματος Solana αποστραγγίστηκε ως αποτέλεσμα της μόλυνσης.
Στο δεύτερο παράδειγμα, το κακόβουλο λογισμικό κατέγραψε ένα στιγμιότυπο οθόνης του ιδιωτικού κλειδιού του θύματος, το οποίο μπορεί να χρησιμοποιηθεί για να παρακάμψει τις προστασίες MFA και να παραβιάσει λογαριασμούς ακόμη και χωρίς τον κωδικό πρόσβασης.
Συγκεκριμένα, αυτό το στιγμιότυπο οθόνης δείχνει ότι οι σαρώσεις προστασίας από ιούς και απειλές των Windows απέτυχαν να συλλάβουν την απειλή που εκτελείται στη συσκευή του θύματος.
Η επιθεώρηση του κώδικα πριν τον χρησιμοποιήσετε είναι ο καλύτερος τρόπος για να βεβαιωθείτε ότι δεν έχει τροποποιηθεί για κακόβουλους σκοπούς, όπως συνέβη στην καμπάνια που περιγράφεται από την Checkmarx.
Δείτε επίσης: Το PyPI αναστέλλει νέες εγγραφές για αποκλεισμό εκστρατείας malware
Τα κακόβουλα πακέτα Python ενέχουν σημαντικούς κινδύνους τόσο για προγραμματιστές όσο και για οργανισμούς, συχνά μεταμφιεσμένοι σε νόμιμες βιβλιοθήκες για να εκμεταλλευτούν τρωτά σημεία σε εφαρμογές. Αυτά τα πακέτα μπορεί να προορίζονται για την κλοπή ευαίσθητων πληροφοριών, την εγκατάσταση κακόβουλου λογισμικού ή τη δημιουργία backdoors για μη εξουσιοδοτημένη πρόσβαση. Οι εισβολείς χρησιμοποιούν συχνά δημοφιλή αποθετήρια, όπως το PyPI, για να ανεβάσουν αυτά τα κακόβουλα πακέτα, όπως στην περίπτωση της πλατφόρμας StackExchange. Για τον μετριασμό αυτών των κινδύνων, είναι σημαντικό να υιοθετήσετε αυστηρές διαδικασίες επικύρωσης για την προμήθεια πακέτων, να ελέγχετε τακτικά και να ενημερώνεστε για γνωστές απειλές στο οικοσύστημα της Python.
Πηγή: bleepingcomputer
