Na Python Package Index (PyPI) skladištu otkriven je zlonamjerni paket pod imenom “psslib”, koji se lažno predstavlja kao legitimna sigurnosna biblioteka za upravljanje lozinkama. Ovaj paket je usmjeren na Windows developere te uzrokuje trenutno gašenje sistema ukoliko se unesu neispravne lozinke.
“Psslil” predstavlja sofisticirani napad tiposkvoatinga na popularnu “passlib” biblioteku, koja mjesečno bilježi preko 8,9 miliona preuzimanja od strane developera koji implementiraju sigurnosne sisteme za autentifikaciju. Napadač, identificiran kao “umaraq”, objavio je ovaj paket s lažnim tvrdnjama da štiti Python programe, dok zapravo sadrži destruktivni kod osmišljen za nanošenje štete sistemu.
Istraživači iz Socket.dev otkrili su ovaj zlonamjerni paket zahvaljujući svojim AI sistemima za skeniranje, koji su označili destruktivno ponašanje sistemskog gašenja kao anomalno za biblioteku koja se bavi sigurnošću. Paket je i dalje aktivan na PyPI-u uprkos pozivima na njegovo uklanjanje, nastavljajući predstavljati rizik za developere koji ga slučajno instaliraju tokom upravljanja zavisnostima.
Napad je specifično ciljan na razvojna okruženja na Windows operativnom sistemu, gdje Python developeri često posjeduju povišene sistemske privilegije potrebne za automatizaciju i razvoj aplikacija. Kada developeri integriraju ovaj zlonamjerni paket u svoj radni proces, destruktivni teret dobija pristup nivou sistema neophodan za izvršavanje naredbi za trenutno gašenje, što može dovesti do gubitka podataka i prekida rada razvojnih timova.
Tehnička implementacija ovog zlonamjernog paketa koristi jednostavne Python funkcije koje se oslanjaju na biblioteku `easygui` za interakciju s korisnikom i `os` modul za sistemske komande. Ključni mehanizam napada je funkcija za provjeru lozinke koja odmah pokreće Windows gašenje kada korisnici unesu netačne akreditive.
Osim gašenja sistema povezanog s lozinkom, paket uključuje i dodatne funkcije za proširivanje vektora napada. Funkcija “src()” omogućava direktno gašenje sistema bez ikakvih provjera autentičnosti, dok funkcija “error()” kombinira prikazivanje poruka o greškama sa prisilnim izvršavanjem gašenja sistema. Ovi višestruki vektori napada osiguravaju da se zlonamjerni kod može izvršiti neovisno o načinu na koji developeri integriraju paket u svoje aplikacije, čime se maksimizira potencijal za narušavanje sistema u različitim scenarijima implementacije.