Cybersecurity-onderzoekers hebben een kwaadaardig Python-pakket geïdentificeerd dat beweert een uitloper te zijn van de bibliotheek met populaire verzoeken en dat een Golang-versie van het Sliver command-and-control (C2)-framework verbergt in een PNG-afbeelding van het logo van het project.
Het pakket dat gebruik maakt van deze steganografische truc is request-darwin-lite, dat 417 keer is gedownload voordat het uit het Python Package Index (PyPI)-register werd verwijderd.
Requests-darwin-lite “leek een afsplitsing te zijn van het immer populaire verzoekenpakket met een paar belangrijke verschillen, met name de opname van een kwaadaardig Go-binair bestand verpakt in een grote versie van het PNG-logo in de zijbalk met daadwerkelijke verzoeken”, software Dat meldt supply chain-beveiligingsbedrijf Phylum.
De wijzigingen zijn geïntroduceerd in het setup.py-bestand van het pakket, dat is geconfigureerd om een Base64-gecodeerde opdracht te decoderen en uit te voeren om de Universally Unique Identifier (UUID) van het systeem te verzamelen.
Wat een interessante wending is, is dat de infectieketen alleen doorgaat als de identifier overeenkomt met een bepaalde waarde, wat impliceert dat de auteur(s) achter het pakket een specifieke machine willen binnendringen waarop ze al in het bezit zijn van de identifier die via een ander pakket is verkregen. middelen.
Dit brengt twee mogelijkheden met zich mee: óf het is een zeer gerichte aanval, óf het is een soort testproces voorafgaand aan een bredere campagne.
Mocht de UUID overeenkomen, dan gaat de request-darwin-lite verder met het lezen van gegevens uit een PNG-bestand met de naam “requests-sidebar-large.png”, dat overeenkomsten vertoont met het legitieme verzoekenpakket dat wordt geleverd met een soortgelijk bestand genaamd “requests-sidebar”. png.”
Wat hier anders is, is dat terwijl het echte logo dat in de verzoeken is ingebed een bestandsgrootte van 300 kB heeft, het logo in de verzoeken-darwin-lite ongeveer 17 MB is.
De binaire gegevens die in de PNG-afbeelding zijn verborgen, zijn het op Golang gebaseerde Sliver, een open-source C2-framework dat is ontworpen om te worden gebruikt door beveiligingsprofessionals in hun Red Team-operaties.
Het exacte einddoel van het pakket is momenteel onduidelijk, maar de ontwikkeling is opnieuw een teken dat open-source ecosystemen een aantrekkelijke vector blijven om malware te verspreiden.
Nu een grote meerderheid van de codebases afhankelijk is van open-sourcecode, heeft de gestage toestroom van malware in npm, PyPI en andere pakketregisters, om nog maar te zwijgen van de recente XZ Utils-episode, de noodzaak benadrukt om problemen op een systematische manier aan te pakken die anders niet mogelijk zouden zijn. kan “grote delen van het web laten ontsporen”.
