Исследователи ReversingLabs обнаружили пакеты Python, использующие неопубликованную загрузку DLL для обхода инструментов безопасности.
10 января 2024 года Карло Занки, реверс-инженер компании ReversingLabs, наткнулся на два подозрительных пакета в индексе пакетов Python (PyPI). Было обнаружено, что эти пакеты, названные NP6HelperHttptest и NP6HelperHttper, используют загрузку неопубликованных DLL — известный метод, используемый злоумышленниками для незаметного выполнения кода и уклонения от обнаружения инструментами безопасности.
Это открытие подчеркивает расширяющийся ландшафт угроз в цепочках поставок программного обеспечения: злоумышленники используют уязвимости в экосистемах с открытым исходным кодом. Этот инцидент подчеркивает проблемы, с которыми сталкиваются разработчики при проверке качества и подлинности модулей с открытым исходным кодом на фоне огромного и постоянно меняющегося ландшафта доступного кода.
Вредоносные пакеты, замаскированные под названиями, очень похожими на законные, имели целью обмануть разработчиков и заставить их невольно включить их в свои проекты. Эта тактика, известная как тайпсквоттинг, является лишь одним из многих методов, используемых злоумышленниками для проникновения в законные цепочки поставок программного обеспечения.
Дальнейшее расследование показало, что вредоносные пакеты были нацелены на существующие пакеты PyPI, NP6HelperHttp и NP6HelperConfig, первоначально опубликованные пользователем с именем NP6. Хотя NP6 связан с Chapvision, фирмой по автоматизации маркетинга, рассматриваемая учетная запись PyPI была связана с личной учетной записью разработчика Chapvision. Это открытие побудило Chapvision подтвердить легитимность вспомогательных инструментов и впоследствии удалить вредоносные пакеты из PyPI.
Анализ вредоносных пакетов выявил сложный подход, при котором скрипт setup.py использовался для загрузки как законных, так и вредоносных файлов. Примечательно, что вредоносная DLL — dgdeskband64.dll — была создана для использования неопубликованной загрузки DLL — метода, обычно используемого киберпреступниками для загрузки вредоносного кода без обнаружения.
Дальнейшее изучение выявило более широкую кампанию с дополнительными образцами, демонстрирующими аналогичные характеристики. Платформа Titanium компании ReversingLabs, использующая YARA Retro Hunt, выявила связанные образцы, что указывает на скоординированные усилия субъектов угрозы.
Вредоносный код, встроенный в DLL, использовал обработчик исключений для выполнения шелл-кода, устанавливая соединение с внешним сервером для загрузки и выполнения полезных данных. В ходе расследования также были обнаружены следы Cobalt Strike Beacon, инструмента безопасности красной команды, который злоумышленники перепрофилировали для вредоносных действий.
Это открытие подчеркивает растущую изощренность злоумышленников, которые используют инфраструктуру с открытым исходным кодом для своих кампаний. Он подчеркивает острую необходимость для разработчиков и организаций укрепить свои цепочки поставок программного обеспечения от таких атак, подчеркивая превентивные меры по обеспечению целостности и безопасности своих репозиториев кода.
(Фото Дэвида Клода на Unsplash)
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с другими ведущими мероприятиями, включая BlockX, Неделю цифровой трансформации, IoT Tech Expo и AI & Big Data Expo.
Кроме того, предстоящая конференция по облачной трансформации — это бесплатное виртуальное мероприятие для лидеров бизнеса и технологий, на котором они смогут изучить развивающуюся среду облачной трансформации. Забронируйте бесплатный виртуальный билет, чтобы изучить практические аспекты и возможности внедрения облака.
Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, организованных TechForge. здесь.
Специальная подборка для Вас