Skip to main content
DIABASTE DWREAN SEC 148
tech 2024 03 19 at 09 04 34 TM 471
Hermes Banner 1
DIABASTE DWREAN SEC CYP 10
DIGITAL TV 186
23 Μαρτίου 2023 10:29

Κακόβουλο πακέτο στο PyPI χρησιμοποιεί τεχνικές phishing για να κρύψει την κακόβουλη πρόθεσή του

check point 30afae72

Το PyPI (Python Package Index) είναι το επίσημο αρχείο πακέτων λογισμικού για τη γλώσσα προγραμματισμού Python. Πρόκειται για μια κεντρική πλατφόρμα όπου οι προγραμματιστές της Python μπορούν να βρίσκουν, να εγκαθιστούν και να μοιράζονται πακέτα Python ανοικτού κώδικα. Το PyPI λειτουργεί από το Python Software Foundation (PSF) και είναι προσβάσιμο μέσω του προγράμματος εγκατάστασης πακέτων pip, το οποίο περιλαμβάνεται στις περισσότερες εγκαταστάσεις της Python. Οι χρήστες μπορούν να αναζητήσουν πακέτα με βάση το όνομα ή τη λέξη-κλειδί και μπορούν να κατεβάσουν και να εγκαταστήσουν πακέτα με μία μόνο εντολή. Το PyPI φιλοξενεί χιλιάδες πακέτα Python ανοικτού κώδικα, που κυμαίνονται από βιβλιοθήκες για επιστημονικούς υπολογισμούς και ανάλυση δεδομένων, μέχρι πλαίσια για ανάπτυξη ιστοσελίδων και μηχανική μάθηση. Οποιοσδήποτε μπορεί να ανεβάσει ένα πακέτο στο PyPI, αρκεί να πληροί ορισμένες απαιτήσεις και κατευθυντήριες γραμμές που έχουν τεθεί από το PSF. Το PyPI έχει γίνει ένα βασικό εργαλείο για την κοινότητα της Python, επιτρέποντας στους προγραμματιστές να ανακαλύπτουν και να χρησιμοποιούν εύκολα πακέτα τρίτων και ενθαρρύνει τη συνεργασία και την ανταλλαγή μεταξύ των προγραμματιστών Python παγκοσμίως. Πολλά δημοφιλή πλαίσια και εργαλεία Python, όπως το Django, το Flask και το Pandas, είναι διαθέσιμα στο PyPI, μαζί με ένα τεράστιο φάσμα άλλων πακέτων για διάφορους σκοπούς, καθιστώντας το έναν κρίσιμο πόρο για τους προγραμματιστές στο οικοσύστημα της Python.

Η Επίθεση

Είναι σημαντικό να σημειωθεί ότι οι κακόβουλοι δράστες δεν περιμένουν, και βλέπουμε συνεχώς νέες τεχνικές και στρατηγικές με τις οποίες προσπαθούν να κρύψουν την κακόβουλη πρόθεσή τους (από τη χρήση Στεγανογραφίας, μέχρι κρυπτο-πειρατές που καταλαμβάνουν το σύστημα εγκατάστασης για να εξορύξουν κρυπτογραφικό νόμισμα για το κέρδος τους). Τα κακόβουλα πακέτα που εντοπίσαμε καταδεικνύουν πως το phishing είναι ένα ακόμη εργαλείο που χρησιμοποιούν οι επιτιθέμενοι για να κρύψουν την πρόθεσή τους. Χρησιμοποιώντας τα μοντέλα μηχανικής μάθησης που διαθέτουμε, καταφέραμε να εντοπίσουμε αυτά τα κακόβουλα πακέτα στο PyPI. Ενώ προσποιούνταν ότι είναι βοηθητικά προγράμματα που σχετίζονται με το async-io, αυτά τα πακέτα αποδείχθηκαν κακόβουλοι παράγοντες- κατέβαζαν και εκτελούσαν κρυφά συγκεκαλυμμένο κώδικα ως μέρος της διαδικασίας εγκατάστασής τους. Επιπλέον, ο επιτιθέμενος δημοσίευσε μερικές εκδόσεις του ίδιου πακέτου με μικρές τροποποιήσεις, πιθανώς επαναλαμβάνοντας προς μια έκδοση που θα είναι λιγότερο ορατή σε όσους κυνηγούν κακόβουλα πακέτα στο PyPI. Πολλές λεπτομέρειες για τα πακέτα που εντοπίστηκαν είναι μπροστά.

Η Επίθεση σε λεπτομέρεια Το πρώτο πακέτο που τράβηξε την προσοχή μας ήταν το  aiotoolsbox; Ενώ φαινόταν καλοήθες με την πρώτη ματιά, αποδείχθηκε ότι ήταν ένα ακριβές αντίγραφο του νόμιμου πακέτου  aiotools. Είναι σημαντικό να σημειωθεί ότι ενώ το typosquating (η χρήση ονομάτων πακέτων που μοιάζουν με δημοφιλή καλοήθη πακέτα προκειμένου να ξεγελάσουν τους χρήστες και να εγκαταστήσουν τα κακόβουλα) είναι μια αρκετά συνηθισμένη επίθεση στον κόσμο της εφοδιαστικής αλυσίδας, το ταυτόσημο αντίγραφο του καλοήθους πακέτου είναι μια λιγότερο συνηθισμένη πρακτική (για τις περισσότερες περιπτώσεις αρκεί η μίμηση του ονόματος του πακέτου) και είναι γενικά κάτι που βλέπουμε περισσότερο στον κόσμο του phishing. Μια τέτοια προσπάθεια μπορεί να υποδηλώνει μια πιο εξελιγμένη εκστρατεία, λαμβάνοντας υπόψη ότι οι εγκαταστάτες ενδέχεται να ρίχνουν μια δεύτερη ματιά στα πακέτα που πρόκειται να εγκαταστήσουν (είναι ενδιαφέρον ότι παρόμοια κακόβουλη εκστρατεία είχε εντοπιστεί στο παρελθόν από τα μοντέλα μηχανικής μάθησης που διαθέτουμε).  

Κοιτάζοντας τα μεταδεδομένα των πακέτων, και τα δύο έχουν τον ίδιο συγγραφέα ενώ έχουν διαφορετικό συντηρητή. Βασιζόμενοι στο γεγονός ότι σύμφωνα με το πρωτόκολλο δημοσίευσης των πακέτων PyPI τα πεδία του συγγραφέα είναι ελεύθερου κειμένου ενώ ο συντηρητής είναι ένας πιστοποιημένος χρήστης, ο επιτιθέμενος μπορούσε εύκολα να μιμηθεί το πεδίο του συγγραφέα ενώ για τα πεδία του συντηρητή έπρεπε να βασιστεί σε κάτι άλλο. 

Σύμφωνα με τα στοιχεία του συντηρητή του aiotoolsbox, είναι συνεργάτες του PyPI από το 2019. Δεδομένου του γεγονότος ότι τα δύο μόνο πακέτα που έχουν δημοσιεύτηκαν πρόσφατα, είναι δίκαιο να υποθέσουμε ότι αυτός ο λογαριασμός παραβιάστηκε πρόσφατα.

Εξετάζοντας τον κώδικα εγκατάστασης του aiotoolsbox περιλαμβάνει ένα παράξενο κομμάτι που ως μέρος της διαδικασίας εγκατάστασης, κατεβάζει ένα zip από το διαδίκτυο, το εξάγει, το εκτελεί και τελικά διαγράφει το περιεχόμενό του.

Το πρώτο ενδιαφέρον σημείο εδώ είναι το γεγονός ότι το zip κατεβαίνει από έναν διακομιστή που υποτίθεται ότι είναι ο ‘files.pythonhosted.org’. Αυτό αποδεικνύεται ότι είναι το δεύτερο επίπεδο phishing της επίθεσης, καθώς ο διακομιστής προσπαθεί να κρυφτεί ως ο επίσημος ιστότοπος φιλοξενίας πακέτων PyPI.

To καλοήθες files.pythonhosted.org δίπλα στον κακόβουλο διακομιστή aiotoolsbox που χρησιμοποιείται

Ένα άλλο ενδιαφέρον σημείο είναι το όνομα του αρχείου που κατεβάζετε, το οποίο αντιστοιχεί στη χρησιμοποιούμενη έκδοση της python, δηλαδή για παράδειγμα κάποιος που χρησιμοποιεί python 3.9 θα λάβει ένα zip με το όνομα 39.zip. Αυτό φαίνεται να είναι ένα άλλο επίπεδο συσκοτίσεως του phishing, κάνοντας τον κοινό χρήστη να υποθέσει ότι πρόκειται για κάτι νόμιμο που βλέπει, πιθανώς κάποιο είδος εσωτερικής ροής του pip.

Εξετάζοντας το zip που κατέβηκε, συμπεριέλαβε έναν κώδικα με pyArmor, ο οποίος καθιστά δύσκολο να κατανοήσουμε σαφώς την κακόβουλη πρόθεσή του. Παρ’ όλα αυτά, κοιτάζοντας τα ονόματα των αρχείων που κατεβάστηκαν, είναι δίκαιο να υποθέσουμε ότι το πακέτο είναι ένας κλέφτης PII, που σκοπεύει να συλλέξει και να κλέψει τα μυστικά του εγκαταστάτη. Δεδομένου του γεγονότος ότι αυτό το zip κατέβηκε κρυφά κατά τη διάρκεια της διαδικασίας εγκατάστασης, μπορούμε να συμπεράνουμε ότι δεν πρόκειται για μια καλοήθη περίπτωση.

Επανεξετάζοντας τη δομή του πακέτου aiotoolsbox, εκτός από το setup.py που αναφέρθηκε, τα υπόλοιπα αρχεία φαίνεται να προέρχονται από το καλοήθες πακέτο aiotools, κάνοντας τον κοινό χρήστη να λαμβάνει τις βασικές λειτουργίες που αναζητούσε, χωρίς να γνωρίζει ότι μόλις εγκατέστησε ένα κακόβουλο πακέτο.

Η καλοήθης δομή αρχείων aiotools δίπλα στο κακόβουλο aiotoolsbox
Ψάχνοντας για τις προηγούμενες εκδόσεις του aiotoolsbox μπορούμε να παρατηρήσουμε με ενδιαφέρον ότι ανέβηκε μερικές φορές με διαφορετικές εκδόσεις (πρώτα 1.4.7 και μόνο μετά 1.4.5 και 1.4.6).

Αναζήτηση για προηγούμενες κυκλοφορίες aiotoolsbox

Εξετάζοντας τη διαφορά μεταξύ αυτών των εκδόσεων αποδείχθηκε ότι είχαν την ίδια δομή, ενώ η μόνη διαφορά ήταν στο αρχείο setup.py και πιο συγκεκριμένα στην IP του διακομιστή που χρησιμοποιούν. Ελέγχοντας τα στοιχεία της IP η αρχική έκδοση ήταν μια ρωσική IP ενώ η μεταγενέστερη ήταν από τη Γερμανία. Πιθανώς και πάλι ένα άλλο επίπεδο συσκοτισμού, θεωρώντας ότι μια ρωσική IP θα είναι πιο ανησυχητική από μια γερμανική.

Τέλος, εξετάζοντας το άλλο πακέτο του λογαριασμού – το async-proxy, στο αρχείο setup.py αναφέρει το aiotoolsbox ως τη μόνη του απαίτηση, κάνοντας όποιον το εγκαταστήσει να εγκαταστήσει και το κακόβουλο aiotoolsbox

Πως αποτρέπει αυτόν τον κίνδυνο το CloudGuard Spectral

Με τις επιθέσεις στην αλυσίδα εφοδιασμού να αυξάνονται ολοένα και περισσότερο, είναι απαραίτητο να διασφαλιστείτε επαληθεύοντας όλα τα συστατικά του λογισμικού που χρησιμοποιείτε, ιδίως εκείνα που δεν έχουν αναπτυχθεί από εσάς. Στην Check Point, η αποστολή μας είναι να οικοδομήσουμε μια ασφαλή διαδικασία ανάπτυξης, εξοπλίζοντας τους προγραμματιστές με τα κατάλληλα εργαλεία για να το πετύχουμε αυτό. Για να καταπολεμήσουμε τα κακόβουλα πακέτα που οδηγούν σε κινδύνους στην αλυσίδα εφοδιασμού, παρακολουθούμε επαγρυπνώντας το PyPI και το NPM για κακόβουλες οντότητες. Μετά τον εντοπισμό τους, ενημερώνουμε το NPM, προτρέποντας την άμεση αφαίρεσή τους. Αξιοποιώντας το CloudGuard Spectral, μπορείτε να παραμείνετε ασφαλείς και σε εγρήγορση, επιτρέποντάς σας να εντοπίζετε γρήγορα κακόβουλους φορείς.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report Μαρτίου

    Security Report Μαρτίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Μαρτίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος του Security Report θα βρείτε ενδιαφέροντα ...
  • 9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    Ο κλάδος της φιλοξενίας εξελίσσεται ραγδαία, ιδίως στη χώρα μας, όπου καθημερινά εκατοντάδες ξενοδοχεία προσφέρουν μοναδικές εμπειρίες στους επισκέπτες και στους τουρίστες που καταφθάνουν από το ε...
  • Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Η Ελληνικός Κεντρικός Σταθμός Α.Ε. – ΕΡΜΗΣ διασφαλίζει τη διαθεσιμότητα και την αδιάλειπτη παροχή των 24/7 Υπηρεσιών Κέντρου Λήψης Ηλεκτρονικών Σημάτων, για την αντιμετώπιση απρόσμενων καταστάσεων...
  • 11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    Μία ολοκληρωμένη σειρά 11 Wi-Fi καμερών της ANGA, καθεμία από τις οποίες διαθέτει ένα μοναδικό σύνολο χαρακτηριστικών προσαρμοσμένων για να καλύψει διαφορετικές ανάγκες και προτιμήσεις, θα βρείτε ...
  • 3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    H ΗΛΚΑ Α.Ε. διαθέτει την πληρέστερη γκάμα all in one CCTV testers τελευταίας γενεάς, με προϊόντα κορυφαίων προδιαγραφών, σε ασυναγώνιστες τιμές. Τα CCTV testers είναι απαραίτητα εργαλεία για τον ε...
  • TP-Link VIGI C540-W & C340 V1/V2

    TP-Link VIGI C540-W & C340 V1/V2

    Η πρωτοποριακή σειρά προϊόντων VIGI της TP-Link έχει σχεδιαστεί για εγκαταστάσεις μικρομεσαίας κλίμακας και περιλαμβάνει κάμερες υψηλής ανάλυσης με προηγμένα χαρακτηριστικά που εξασφαλίζουν καθαρή...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Cyprus, τεύχος 11

    Security Cyprus, τεύχος 11

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή ...
  • Dahua Insider

    Dahua Insider

    Βελτιωμένη γενιά Access Controller με νέες δυνατότητες και λειτουργίες Ο νέος Insider Access Controller της Dahua, ASC3202B, έρχεται να γίνει η «καρδιά» της εγκατάστασήςμας. Ενσωματώνει Web Int...
  • Security TOP 50

    Security TOP 50

    Η κατάταξη των εταιρειών Security, που δημοσιεύει κάθε χρόνο στην επίσημη ιστοσελίδα του το περιοδικό asmag.com, είναι πλέον διαθέσιμη! Το asmag.com, που σε συνεργασία με κορυφαία στελέχη του κλάδ...
  • PIAM 2.0

    PIAM 2.0

    Το PIAM (Physical Identity and Access Management), που αναφέρεται στον έλεγχο πρόσβασης και σημαίνει διαχείριση της φυσικής ταυτότητας και της πρόσβασης, είναι στην πραγματικότητα ένα σύστημα που ...
  • Body worn κάμερες: Ξεκινά η πιλοτική εφαρμογή τους το 2024 στη χώρα μας

    Body worn κάμερες: Ξεκινά η πιλοτική εφαρμογή τους το 2024 στη χώρα μας

    Οι body worn κάμερες, που κατά βάση χρησιμοποιούνται από τις αρχές επιβολής του νόμου, μπορούν μεταξύ άλλων να τοποθετηθούν στις στολές των αστυνομικών και έχουν αποδειχθεί ιδιαίτερα χρήσιμες,...
  • Πώς επηρεάζονται οι αγοραστικές συνήθειες του καταναλωτικού κοινού από τα δεδομένα

    Πώς επηρεάζονται οι αγοραστικές συνήθειες του καταναλωτικού κοινού από τα δεδομένα

    Η ικανότητα συλλογής, ανάλυσης και εξαγωγής πληροφοριών / δεδομένων από πολλαπλές πηγές μπορεί να έχει άμεσο θετικό αντίκτυπο για μία επιχείρηση, κάτι που γίνεται καλύτερα αντιληπτό όταν εξετάζουμ...
  • Πρωτόκολλο DALI

    Πρωτόκολλο DALI

    Το πρωτόκολλο επικοινωνίας φωτιστικών ασφαλείας DALI (Digital Addressable Lighting Interface) αναδεικνύει μια νέα εποχή στον χώρο της τεχνολογίας φωτισμού, προσφέροντας εξελιγμένες δυνατότητες ελέ...
  • Ajax Special Event: Νέα προϊόντα και λύσεις στην 5η κατά σειρά virtual παρουσίαση!

    Ajax Special Event: Νέα προϊόντα και λύσεις στην 5η κατά σειρά virtual παρουσίαση!

    Το 5ο κατά σειρά εικονικό event της Ajax Systems ολοκληρώθηκε με τεράστια επιτυχία στις 20 Οκτωβρίου του 2023! Για μία ακόμα χρονιά, η εταιρεία άνοιξε τα χαρτιά της ανακοινώνοντας νέες αλλαγές στο...
  • Ο ρόλος των καμερών ασφαλείας στο industry 4.0

    Ο ρόλος των καμερών ασφαλείας στο industry 4.0

    Πριν από το 2014, ο όρος αναζήτησης «industry 4.0» στο Google ήταν πρακτικά ανύπαρκτος. Αυτό έπαψε να ισχύει από το 2019, όπου το 68% των ερωτηθέντων μιας παγκόσμιας έρευνας που πραγματοποίησε η M...