Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.
inf

10 Pacotes de Info-stealing encontrados no Repositório da Linguagem de Programação Python, PyPI

Os investigadores fornecem exemplos visuais de pacotes maliciosos encontradas
Share it:

 

Os investigadores fornecem exemplos visuais de pacotes maliciosos encontradas

Os ataques dependem do facto de o processo de instalação do Python poder incluir trechos arbitrários de código

Os investigadores alertaram PyPI cujos últimos removeram estes pacotes

 

 Os investigadores da Spectralops.io, uma empresa da Check Point Software, detetaram dez pacotes maliciosos em PyPI, um repositório de software para a linguagem de programação Python. Os atacantes executam códigos maliciosos em máquinas alvo, enganando os utilizadores através de nomes e descrições enganosas de pacotes familiares. A instalação de pacotes maliciosos permite aos atacantes roubar dados privados e credenciais pessoais dos programadores. O PyPI tem mais de 609.020 utilizadores ativos, trabalhando em 388.565 projetos, com 3.630.725 lançamentos.

 Os investigadores da Spectralops.io, uma empresa da Check Point Software, detetaram dez pacotes maliciosos no PyPI, um repositório de software para a linguagem de programação Python. A ameaça de segurança permite aos cibercriminosos executar códigos em máquinas alvo, permitindo aos atacantes roubar dados privados e credenciais pessoais dos programadores. Os atacantes da ameaça poderiam utilizar nomes e descrições enganosas de pacotes familiares para enganar os utilizadores na instalação.

O PyPI ajuda os programadores a encontrar e instalar software desenvolvido e partilhado por outros programadores desta comunidade. De acordo com o seu próprio website, PyPI tem mais de 609.020 utilizadores ativos, trabalhando em 388.565 projetos, com 3.630.725 lançamentos.

 Metodologia de Ataque

Para executar os seus ataques, os ciber-criminosos enganarão os utilizadores na instalação de um pacote malicioso, utilizando nomes e descrições enganosas. Como parte do script de instalação, os pacotes maliciosos executam um ato malicioso, tal como roubar as credenciais dos utilizadores. O código malicioso termina enviando as credenciais que rouba para outro lugar. Em última análise, os utilizadores não estão cientes de que tudo isto acabou de acontecer.

Pacotes maliciosos

Check Point Research (CPR) fornece detalhes sobre os pacotes que detetaram.

 

·         Ascii2text. O código era responsável por descarregar e executar um script malicioso que procura senhas locais e carrega-as usando um gancho web de discórdia.

·         Pyg-utils, Pymocks e PyProto2. Como parte da sua instalação setup.py, Pyg-utils liga-se a um domínio malicioso (pygrata.com) que poderia ser uma infra-estrutura para um ataque de phishing. Pymocks e PyProto2 têm, curiosamente, código quase idêntico que visa um domínio diferente - pymocks.com.

·         Test-async. Described in its description as a ‘very cool test package that is extremely useful and that everyone needs 100%’. In its setup.py installation script it downloads and executes, probably malicious, code from the web. Interestingly, prior to downloading that snippet, it notifies a Discord channel that a ‘new run’ was started.

·         Free-net-vpn e Free-net-vpn2 são pacotes maliciosos que visam variáveis de ambiente. Estes segredos são então publicados para um sítio mapeado por um serviço dinâmico de mapeamento DNS.

·         Zlibsrc, provavelmente para tentar confundir os utilizadores de PyPI com o popular pacote Python integrado na zlib.

·         Browserdiv, rouba as credenciais dos instaladores e envia para um web hook no Discord como parte do processo de instalação.

·         WINRPCexpoit, descreve-se a si próprio como um "pacote para explorar as vulnerabilidades RPC do Windows" enquanto na realidade, apenas rouba as credenciais do instalador.

 

Exemplo visual

Ascii2text é um pacote malicioso.

    

A falsa descrição ascii2text VS a descrição original do pacote

 

Divulgação responsável

Uma vez detetada, o CPR divulgou a informação e alertou o PyPI sobre estes pacotes, que mais tarde foi removido pelo PyPI.

 Descobrimos um conjunto de pacotes maliciosos no PyPI, pondo em perigo os que os instalam. Estes ataques dependem do facto de o processo de instalação do Python poder incluir trechos arbitrários de código, que é um lugar onde os cibercriminosos podem colocar os seus códigos maliciosos. Descobrimo-lo utilizando modelos de Machine Learning que analisam o código destes pacotes e alerta automático sobre os maliciosos.

O que é notável aqui é o quão comuns são estes pacotes maliciosos. Eles são simples, mas perigosos. Pessoalmente, assim que encontrei estes tipos de ataques, comecei a verificar duas vezes cada pacote Python que utilizo. Por vezes até o descarrego e observo manualmente o seu código antes de o instalar". Ori Abramovsky, Data Science Lead na Spectralops.io

 


 

Share it:

inf

Post A Comment:

0 comments: