Istraživači kibernetičke bezbjednosti upozoravaju na “pakete lažnjaka” koji oponašaju popularne biblioteke dostupne u Python Package Index (PyPI) repozitoriju.
Utvrđeno je da se 41 maliciozni PyPI paket predstavlja kao tipska varijanta legitimnih modula kao što su HTTP, AIOHTTP, zahtjevi, urllib i urllib3.
Nazivi paketa su sljedeći: aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, https libhttps, request, pips requestst, ulrlib3, urelib3, urklib3, urlkib3, ullb, urllib33, urolib3 i xhttpsp.
“Opisi ovih paketa uglavnom ne upućuju na njihovu malicioznu namjeru” rekla je istraživačica ReversingLabs-a Lucija Valentić u novom tekstu. “Neke su prerušene u prave biblioteke i prave laskava poređenja između svojih mogućnosti i onih poznatih, legitimnih HTTP biblioteka.”
Ali u stvarnosti, oni ili sadrže programe za preuzimanje koji djeluju kao kanal za isporuku malicioznog softvera druge faze zaraženim hostovima ili kradljivce informacija koji su dizajnirani da eksfiltriraju osjetljive podatke kao što su lozinke i tokeni.
Fortinet, koji je takođe otkrio slične lažne HTTP pakete na PyPI-u ranije ove sedmice, primijetio je njihovu sposobnost pokretanja programa za preuzimanje trojanaca koji zauzvrat sadrži DLL datoteku (Rdudkye.dll) koja pakuje razne funkcije.
Razvoj je samo najnoviji pokušaj hakera da otruju repozitorijume otvorenog koda kao što su GitHub, npm, PyPI i RubyGems i da propagiraju maliciozni softver na programerske sisteme i podignu napade na lanac nabavke.
Nalazi dolaze dan nakon što je Checkmarx detaljno opisao porast spam paketa u npm registru otvorenog koda koji su dizajnirani da preusmjere žrtve na phishing linkove.
“Kao i kod drugih napada na lanac nabavke, hakeri računaju na kucanje koje stvara zabunu i računaju na to da će neoprezni programeri slučajno prigrliti maliciozne pakete sa sličnim nazivima” rekla je Valentić.
Izvor: The Hacker News