Na Python Package Index (PyPI) skladištu se pojavio zlonamjerni paket pod nazivom “psslib” koji se predstavlja kao legitimna biblioteka za sigurnost lozinki, a cilja Windows programere tako što izaziva neposredna isključivanja sistema nakon netočnog unosa lozinke.
Ovaj zlonamjerni paket predstavlja sofisticirani “typosquatting” napad usmjeren na široko korištenu “passlib” biblioteku, koja bilježi preko 8.9 miliona mjesečnih preuzimanja od strane programera koji implementiraju sigurne sisteme autentifikacije.
Malware koristi posebno podmukao pristup iskorištavajući povjerenje programera u pakete fokusirane na sigurnost. Za razliku od tradicionalnih napada na lance snabdijevanja koji djeluju prikriveno radi krađe podataka ili uspostavljanja trajnosti, ovaj paket daje prednost trenutnom ometanju nad prikrivenim operacijama.
Objavljen od strane aktera prijetnje poznatog kao “umaraq”, paket lažno reklamira sebe kao sigurnosno rješenje koje će “osigurati vaš Python program”, dok u sebi sadrži destruktivni kod dizajniran da uzrokuje neposrednu štetu sistemu.
Istraživači iz Socket.dev identificirali su zlonamjerni paket putem svojih AI-baziranih sistema za skeniranje, koji su označili destruktivno ponašanje isključivanja sistema kao nenormalno za navodnu sigurnosnu biblioteku.
Paket je i dalje aktivan na PyPI-u uprkos formalnim zahtjevima za njegovo uklanjanje, nastavljajući predstavljati rizik za neoprezne programere koji ga mogu slučajno instalirati tokom rutinskog upravljanja zavisnostima.
Napad specifično cilja na Windows razvojna okruženja, gdje Python programeri obično posjeduju povišena sistemska ovlaštenja neophodna za automatizaciju i zadatke razvoja aplikacija. Kada ovi programeri integrišu zlonamjerni paket u svoje radne tokove, destruktivni teret stječe pristup na nivou sistema neophodan za izvršavanje neposrednih komandi za isključivanje, što potencijalno uzrokuje gubitak podataka i ometanje radnog toka u razvojnim timovima.
U pogledu tehničke implementacije i mehanizma napada, psslib paket sprovodi svoj destruktivni teret putem prikriveno jednostavnih Python funkcija koje koriste easygui biblioteku za interakciju s korisnikom i os modul za sistemske komande. Glavni vektor napada usredsređen je na funkciju verifikacije lozinke koja neposredno pokreće isključivanje Windowsa kada korisnici unesu netačne akreditive.
Osim isključivanja pokrenutog lozinkom, paket uključuje i dodatne funkcije dizajnirane za proširenje vektora napada. Funkcija “src()” omogućava direktno isključivanje sistema bez bilo kakvih zahtjeva za autentifikacijom, dok funkcija “error()” kombinira prikaz poruka o greškama s izvršavanjem obaveznog isključivanja. Ovi višestruki vektori napada osiguravaju da se zlonamjerni teret može izvršiti bez obzira na to kako programeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za sistemsko ometanje u raznim scenarijima implementacije.