Na PyPI (Python Package Index) platformi pronađen je zlonamjerni Python paket koji se predstavlja kao legitimna biblioteka za sigurnost lozinki. Ovaj paket, nazvan “psslib”, cilja na Windows developere i uzrokuje trenutno gašenje sistema ukoliko se unesu pogrešni podaci za prijavu.
Ovaj zlonamjerni paket predstavlja sofisticirani “typosquatting” napad usmjeren na popularnu “passlib” biblioteku, koja bilježi preko 8.9 miliona preuzimanja mjesečno od strane developera koji implementiraju sigurne sisteme autentikacije.
Malware koristi izrazito podmukao pristup iskorištavanjem povjerenja developera u pakete fokusirane na sigurnost. Za razliku od tradicionalnih napada na lance snabdijevanja, koji djeluju skrivenim putem radi krađe podataka ili uspostavljanja perzistentnosti, ovaj paket prioritet daje neposrednom ometanju rada, a ne prikrivenim operacijama.
Paket je objavio “umaraq”, koji ga lažno reklamira kao sigurnosno rješenje za “osiguranje vašeg Python programa”, dok zapravo sadrži razarajući kod dizajniran da prouzrokuje neposrednu štetu sistemu.
Istraživači Socket.dev otkrili su zlonamjerni paket putem svojih sistema za skeniranje pokretanih umjetnom inteligencijom, koji su označili razarajuće ponašanje gašenja sistema kao neuobičajeno za navodnu sigurnosnu biblioteku. Paket je i dalje aktivan na PyPI-ju, uprkos zvaničnim zahtjevima za njegovo uklanjanje, nastavljajući da predstavlja rizik za nesvjesne developere koji bi ga mogli slučajno instalirati tokom rutinskog upravljanja zavisnostima.
Napad se specifično fokusira na Windows razvojna okruženja, gdje Python developeri često posjeduju povišene sistemske privilegije neophodne za automatizaciju i zadatke razvoja aplikacija. Kada ovi developeri integrišu zlonamjerni paket u svoje radne procese, razarajući teret dobija sistemski pristup potreban za izvršavanje trenutnih komandi za gašenje, potencijalno uzrokujući gubitak podataka i narušavanje radnih procesa unutar razvojnih timova.
**Tehnička implementacija i mehanizam napada**
Paket “psslib” implementira svoj razarajući teret kroz naizgled jednostavne Python funkcije koje koriste “easygui” biblioteku za interakciju s korisnikom i “os” modul za sistemske komande. Primarni vektor napada usmjeren je na funkciju provjere lozinke koja trenutno pokreće gašenje Windowsa kada korisnici unesu pogrešne akreditive.
Pored gašenja sistema pokrenutog lozinkom, paket uključuje dodatne funkcije dizajnirane za proširenje vektora napada. Funkcija “src()” omogućava direktno gašenje sistema bez ikakvih zahtjeva za autentikacijom, dok funkcija “error()” kombinuje prikaz poruke o grešci sa izvršavanjem prinudnog gašenja. Ovi višestruki vektori napada osiguravaju da zlonamjerni teret može da se izvrši bez obzira na to kako developeri integrišu paket u svoje aplikacije, maksimizirajući potencijal za ometanje sistema u različitim scenarijima implementacije.
