Cybersecurityonderzoekers hebben een schadelijk pakket ontdekt in de Python Package Index (PyPI)-repository dat Apple macOS-systemen aanvalt met als doel de Google Cloud-inloggegevens van gebruikers te stelen van een kleine groep slachtoffers.
Het pakket, genaamd “lr-utils-lib,” trok in totaal 59 downloads voordat het werd verwijderd. Het werd begin juni 2024 geüpload naar het register.
“De malware gebruikt een lijst met vooraf gedefinieerde hashes om specifieke macOS-machines te targeten en probeert Google Cloud-authenticatiegegevens te verzamelen”, zei Checkmarx-onderzoeker Yehuda Gelb in een rapport van vrijdag. “De verzamelde inloggegevens worden naar een externe server gestuurd.”
Een belangrijk aspect van het pakket is dat het eerst controleert of het op een macOS-systeem is geïnstalleerd en pas daarna de Universally Unique Identifier (UUID) van het systeem vergelijkt met een hardgecodeerde lijst met 64 hashes.
Als de gecompromitteerde machine tot de machines behoort die in de vooraf gedefinieerde set zijn gespecificeerd, wordt geprobeerd toegang te krijgen tot twee bestanden, namelijk application_default_credentials.json en credentials.db, die zich in de map ~/.config/gcloud bevinden en die Google Cloud-verificatiegegevens bevatten.
De vastgelegde informatie wordt vervolgens via HTTP verzonden naar een externe server genaamd “europe-west2-workload-422915(.)cloudfunctions(.)net.”
Checkmarx meldde ook dat het een nepprofiel op LinkedIn had gevonden met de naam ‘Lucid Zenith’. Dit profiel kwam overeen met de eigenaar van het pakket en beweerde ten onrechte dat het de CEO van Apex Companies was. Dit suggereert dat er mogelijk sprake is van social engineering bij de aanval.
Wie er precies achter de campagne zit, is momenteel niet bekend. Het komt echter meer dan twee maanden nadat cybersecuritybedrijf Phylum details bekendmaakte over een andere supply chain-aanval met een Python-pakket genaamd “requests-darwin-lite” dat ook zijn kwaadaardige acties ontketende na controle van de UUID van de macOS-host.
Deze campagnes zijn een teken dat kwaadwillenden vooraf kennis hebben van de macOS-systemen die ze willen infiltreren en dat ze er alles aan doen om ervoor te zorgen dat de schadelijke pakketten alleen naar die specifieke machines worden verspreid.
Het gaat ook in op de tactieken die kwaadwillenden gebruiken om vergelijkbare pakketten te verspreiden. Ze willen ontwikkelaars misleiden, zodat deze pakketten in hun applicaties worden opgenomen.
“Hoewel het niet duidelijk is of deze aanval gericht was op individuen of ondernemingen, kunnen dit soort aanvallen een aanzienlijke impact hebben op ondernemingen,” aldus Gelb. “Hoewel de eerste inbreuk meestal plaatsvindt op de machine van een individuele ontwikkelaar, kunnen de implicaties voor ondernemingen substantieel zijn.”