Er is waargenomen dat een onbekende bedreigingsacteur bijna zes maanden lang typosquat-pakketten heeft gepubliceerd in de Python Package Index (PyPI)-repository met als doel malware te leveren die persistentie kan verwerven, gevoelige gegevens kan stelen en toegang kan krijgen tot cryptocurrency-portefeuilles voor financieel gewin.
De 27 pakketten, die zich voordeden als populaire legitieme Python-bibliotheken, trokken duizenden downloads aan, aldus Checkmarx in een nieuw rapport. Het merendeel van de downloads was afkomstig uit de VS, China, Frankrijk, Hong Kong, Duitsland, Rusland, Ierland, Singapore, het VK en Japan.
“Een bepalend kenmerk van deze aanval was het gebruik van steganografie om een kwaadaardige lading te verbergen in een onschuldig uitziend afbeeldingsbestand, waardoor de aanval nog onopvallender werd”, aldus het beveiligingsbedrijf voor de softwareleveringsketen.
Sommige van de pakketten zijn pyefflorer, pyminor, pyowler, pystallerer, pystob en pywool, waarvan de laatste op 13 mei 2023 werd geplant.
Een gemeenschappelijke noemer van deze pakketten is het gebruik van het setup.py-script om verwijzingen op te nemen naar andere kwaadaardige pakketten (dat wil zeggen pystob en pywool) die een Visual Basic Script (VBScript) implementeren om een bestand met de naam “Runtime. exe” om persistentie op de host te bereiken.
Ingebed in het binaire bestand is een gecompileerd bestand dat informatie kan verzamelen van webbrowsers, cryptocurrency-portefeuilles en andere applicaties.
Een alternatieve aanvalsketen waargenomen door Checkmarx zou de uitvoerbare code hebben verborgen in een PNG-afbeelding (“uwu.png”), die vervolgens wordt gedecodeerd en uitgevoerd om het openbare IP-adres en de universeel unieke identificatie (UUID) van de getroffen persoon te extraheren. systeem.
Met name Pystob en Pywool werden gepubliceerd onder het mom van tools voor API-beheer, alleen om de gegevens naar een Discord-webhook te exfiltreren en te proberen de persistentie te behouden door het VBS-bestand in de opstartmap van Windows te plaatsen.
“Deze campagne dient opnieuw een grimmige herinnering aan de altijd aanwezige bedreigingen die bestaan in het huidige digitale landschap, vooral op gebieden waar samenwerking en open uitwisseling van code fundamenteel zijn”, aldus Checkmarx.
De ontwikkeling komt op het moment dat ReversingLabs een nieuwe golf van protestware-npm-pakketten heeft ontdekt die “scripts verbergen die vredesboodschappen uitzenden die verband houden met de conflicten in Oekraïne en in Israël en de Gazastrook.”
Een van de pakketten, genaamd @snyk/sweater-comb (versie 2.1.1), bepaalt de geografische locatie van de host, en als blijkt dat dit Rusland is, wordt een bericht weergegeven waarin kritiek wordt geuit op de “ongerechtvaardigde invasie” van Oekraïne via een andere module genaamd “es5-ext.”
Een ander pakket, e2eakarev, heeft de beschrijving “gratis protestpakket voor Palestina” in het bestand package.json en voert soortgelijke controles uit om te zien of het IP-adres naar Israël verwijst, en zo ja, log dan in wat wordt beschreven als een “onschadelijk protestbericht”. dat ontwikkelaars aanspoort om het bewustzijn over de Palestijnse strijd te vergroten.
Het zijn niet alleen bedreigingsactoren die open-source-ecosystemen infiltreren. Eerder deze week onthulde GitGuardian de aanwezigheid van in totaal 3.938 unieke geheimen in 2.922 PyPI-projecten, waarvan 768 unieke geheimen geldig bleken te zijn.
Dit omvat AWS-sleutels, Azure Active Directory API-sleutels, GitHub OAuth-app-sleutels, Dropbox-sleutels, SSH-sleutels en inloggegevens die zijn gekoppeld aan MongoDB, MySQL, PostgreSQL, Coinbase en Twilio.
Bovendien zijn veel van deze geheimen meer dan eens gelekt, verspreid over meerdere releaseversies, wat het totaal aantal keren op 56.866 brengt.
“Het blootleggen van geheimen in open-sourcepakketten brengt aanzienlijke risico’s met zich mee voor zowel ontwikkelaars als gebruikers”, zegt Tom Forbes van GitGuardian. “Aanvallers kunnen deze informatie misbruiken om ongeoorloofde toegang te verkrijgen, zich voor te doen als pakketbeheerders of gebruikers te manipuleren via social engineering-tactieken.”
De voortdurende golf van aanvallen gericht op de softwaretoeleveringsketen heeft de Amerikaanse overheid er ook toe aangezet deze maand nieuwe richtlijnen uit te vaardigen voor softwareontwikkelaars en -leveranciers om het bewustzijn over softwarebeveiliging te behouden en te vergroten.
“Het wordt aanbevolen dat acquisitieorganisaties risicobeoordelingen van de toeleveringsketen toewijzen aan hun aankoopbeslissingen, gezien de recente spraakmakende incidenten in de toeleveringsketen van software”, aldus de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Office of the Director. van de Nationale Inlichtingendienst (ODNI).
“Softwareontwikkelaars en leveranciers moeten hun softwareontwikkelingsprocessen verbeteren en het risico op schade voor niet alleen werknemers en aandeelhouders, maar ook voor hun gebruikers verkleinen.”
