Οι ερευνητές κυβερνοασφάλειας έχουν εντοπίσει μια κακόβουλη εκστρατεία που στοχεύει χρήστες του αποθετηρίου Python Package Index (PyPI), μέσω ψευδών βιβλιοθηκών που προσποιούνται ότι είναι βοηθητικά προγράμματα σχετιζόμενα με τον χρόνο, αλλά στην πραγματικότητα κρύβουν λειτουργίες που κλέβουν ευαίσθητα δεδομένα, όπως διαπιστευτήρια πρόσβασης σε υπηρεσίες cloud.
Κακόβουλα πακέτα που εντοπίστηκαν
Η εταιρεία ασφάλειας εφοδιαστικής αλυσίδας λογισμικού ReversingLabs ανακάλυψε δύο ομάδες πακέτων, συνολικά 20, τα οποία έχουν συνολικά πάνω από 14.100 λήψεις. Η πρώτη ομάδα περιλαμβάνει πακέτα που χρησιμοποιούνται για την αποστολή δεδομένων στην υποδομή του επιτιθέμενου, ενώ η δεύτερη ομάδα αποτελείται από πακέτα που υλοποιούν λειτουργίες πελάτη cloud για υπηρεσίες όπως το Alibaba Cloud, το Amazon Web Services και το Tencent Cloud.
Επιπλέον, εντοπίστηκε ότι τρία από αυτά τα πακέτα, τα acloud-client, enumer-iam και tcloud-python-test, είχαν καταχωρηθεί ως εξαρτήσεις σε ένα σχετικά δημοφιλές έργο GitHub με την ονομασία accesskey_tools, το οποίο έχει διακλαδιστεί 42 φορές και έχει λάβει 519 αστέρια. Μια δέσμευση κώδικα που αναφέρεται στο tcloud-python-test έγινε στις 8 Νοεμβρίου 2023, υποδεικνύοντας ότι το πακέτο ήταν διαθέσιμο για λήψη στο PyPI από τότε. Μέχρι σήμερα, το πακέτο έχει ληφθεί 793 φορές, σύμφωνα με στατιστικά στοιχεία από το pepy.tech.
Εξέλιξη των επιθέσεων στην εφοδιαστική αλυσίδα λογισμικού
Η αποκάλυψη αυτή έρχεται καθώς τα εργαστήρια Fortinet FortiGuard ανέφεραν την ανακάλυψη χιλιάδων πακέτων σε PyPI και npm, μερικά από τα οποία περιείχαν ύποπτα σενάρια εγκατάστασης σχεδιασμένα να αναπτύσσουν κακόβουλο κώδικα κατά την εγκατάσταση ή να επικοινωνούν με εξωτερικούς διακομιστές. Αυτά τα πακέτα χρησιμοποιούν διάφορες τεχνικές, όπως η ενσωμάτωση ύποπτων URL, η χρήση ύποπτων API και η απουσία πληροφοριών αποθετηρίου, καθιστώντας δύσκολη την ανίχνευσή τους.
Επιπλέον, εντοπίστηκαν πακέτα που στοχεύουν συγκεκριμένα προγραμματιστές Discord, κλέβοντας διαπιστευτήρια αυθεντικοποίησης και εγκαθιστώντας backdoors για απομακρυσμένο έλεγχο του συστήματος. Ένα τέτοιο πακέτο, με την ονομασία pycord-self, μιμείται το δημοφιλές discord.py-self και περιέχει κώδικα που κλέβει διακριτικά αυθεντικοποίησης και δημιουργεί μια μόνιμη σύνδεση με έναν απομακρυσμένο διακομιστή μέσω της θύρας 6969.
Συστάσεις για προγραμματιστές
Για να προστατευτούν από τέτοιες απειλές, οι προγραμματιστές θα πρέπει:
- Επαλήθευση πακέτων: Να ελέγχουν προσεκτικά την προέλευση και την αυθεντικότητα των πακέτων πριν από την εγκατάσταση, αποφεύγοντας πακέτα με ύποπτα ή άγνωστα ονόματα.
- Ανασκόπηση κώδικα: Να εξετάζουν τον κώδικα των πακέτων για ύποπτες λειτουργίες ή σενάρια εγκατάστασης που μπορεί να εκτελούν κακόβουλες ενέργειες.
- Χρήση εργαλείων ανάλυσης ασφαλείας: Να χρησιμοποιούν εργαλεία ανάλυσης συμπεριφοράς και ασφάλειας για την ανίχνευση κακόβουλων πακέτων πριν από την ενσωμάτωσή τους σε έργα.
- Ενημέρωση εξαρτήσεων: Να διατηρούν ενημερωμένες τις εξαρτήσεις τους και να παρακολουθούν για γνωστές ευπάθειες ή κακόβουλα πακέτα.
Η συνεχής επαγρύπνηση και η υιοθέτηση βέλτιστων πρακτικών ασφαλείας είναι απαραίτητες για την προστασία από τις αυξανόμενες απειλές που προέρχονται από κακόβουλα πακέτα σε αποθετήρια λογισμικού.
Πηγές: TheHackerNews, Fortinet
