Checkmarx обнаружил злоумышленника, который в течение почти шести месяцев незаметно проникал в экосистему с открытым исходным кодом, внедряя вредоносные пакеты Python с упором на обман и финансовую выгоду.
Злоумышленник применил систематический подход, маскируя свои пакеты под имена, очень напоминающие популярные легальные пакеты Python. Эти ложные пакеты, замаскированные так, чтобы гармонировать с другими, успешно собрали тысячи загрузок. Вредоносная полезная нагрузка, встроенная в файл setup.py и выполняемая при установке, демонстрирует уровень сложности.
Одним из примечательных аспектов атаки была стеганография, позволяющая скрыть вредоносную полезную нагрузку внутри безобидного на вид файла изображения. Этот метод добавил дополнительный уровень скрытности, усложнив обнаружение. Атака продемонстрировала последовательную схему: код демонстрировал схожие методы запутывания и вредоносные полезные данные.
Пакеты Python, как замаскированные, так и прямые, демонстрировали общий план. Злоумышленник, стремясь к сохранению работоспособности на скомпрометированных системах, использовал сценарии, которые идентифицировали пользователей, создавали определенные каталоги, размещали и запускали файлы, а также заметали следы после выполнения.
Конечная цель пакетов была ясна: добиться настойчивости, украсть конфиденциальную информацию и получить финансовую выгоду. Злоумышленник нацелился на криптовалютные активы с целью кражи финансовых данных. Украденная информация хранилась в отдельных файлах и пересылалась на определенные конечные точки.
Злоумышленник вышел за рамки прямых атак и создал пакеты, маскирующиеся под инструменты управления API. Эти пакеты под названием «Pystob» и «Pywool» побуждали жертв намеренно загружать их, обнаруживая запутанный код и многоуровневую вредоносную полезную нагрузку.
Чтобы выглядеть более легитимно, злоумышленник использовал домен api-hw.com для загрузки полезных данных. Однако потеря контроля над территорией указывает на потенциальное изменение стратегии или отступление.
Кампания, раскрытая Checkmarx, служит ярким напоминанием о постоянных угрозах, нацеленных на экосистему с открытым исходным кодом. Разработчики должны проявлять осторожность, проверять пакеты и использовать платформы оценки безопасности, чтобы принимать обоснованные решения и снижать риски в своих конвейерах DevOps.
Смотрите также: Валарм отмечает тревожные тенденции в угрозах безопасности API
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие приурочено к Неделе цифровой трансформации.
Специальная подборка для Вас