بسته های منبع آزاد که تخمین زده می شود 30000 بار از مخزن منبع">

خبر

  • تک بورد - بسته های مخرب PyPI در حال سرقت داده های توسعه دهنده و تزریق کد هستند

    بسته های مخرب PyPI در حال سرقت داده های توسعه دهنده و تزریق کد هستند
    16 روز و 23 ساعت قبل

    محققان هشدار دادند که انتظار دیدن بیشتر این بسته های مخرب "Frankenstein" را داشته باشید.
    بسته های منبع آزاد که تخمین زده می شود 30000 بار از مخزن منبع باز PyPI بارگیری شود ، حاوی کد مخربی است که به طور پنهانی داده های کارت اعتباری و اعتبار ورود به سیستم را می دزدد و کد مخربی را به آلوده تزریق می کند محققان روز پنجشنبه گفتند که ماشین آلات.

    در پستی ، محققان Andrey Polkovnichenko ، Omer Kaspi و Shachar Menashe از شرکت امنیتی JFrog گفتند که آنها اخیراً هشت بسته در PyPI پیدا کرده اند که طیف وسیعی از فعالیت های مخرب را انجام می دهد. بر اساس جستجوهای انجام شده در https://pepy.tech ، سایتی که آمار بارگیری بسته های پایتون را ارائه می دهد ، محققان تخمین می زنند بسته های مخرب حدود 30،000 بار بارگیری شده اند.

    تهدید سیستمیک

    خواندن بیشتر آهو ، در مخازن شما سوice نیت وجود دارد - آخرین مورد PyPI است که مورد سو استفاده قرار می گیرد. این کشف آخرین حمله در صف طولانی طی سالهای اخیر است که از قابلیت پذیرش مخازن منبع باز سو abuse استفاده می کند ، که روزانه میلیون ها توسعه دهنده نرم افزار به آن اعتماد می کنند. علیرغم نقش حیاتی آنها ، مخازن اغلب فاقد کنترل های امنیتی و تأیید قوی هستند ، این ضعفی است که می تواند باعث ایجاد حملات جدی در زنجیره تأمین شود ، درصورتی که توسعه دهندگان ناآگاهانه خود را آلوده کرده یا کد مخربی را در نرم افزاری که منتشر می کنند ، وارد می کنند. JFrog CTO آساف کاراس در نامه ای نوشت: "کشف مداوم بسته های نرم افزاری مخرب در مخازن معروف مانند PyPI یک روند نگران کننده است که می تواند منجر به حملات گسترده زنجیره تامین شود." "توانایی مهاجمان در استفاده از تکنیک های ساده مبهم سازی برای معرفی بدافزار ، به معنای نگرانی و هوشیاری توسعه دهندگان است. این یک تهدید سیستمی است و باید به طور فعال در چندین لایه رفع شود ، هم توسط نگهدارندگان مخازن نرم افزار و هم توسط توسعه دهندگان. "

    محققان از داستین اینگرام ، نگهدارنده PyPI" برای پاسخ سریع و حذف بسته های مخرب "هنگام اطلاع رسانی. اینگرام بلافاصله به درخواست نظر پاسخ نداد.

    بسته های مختلف حمل و نقل از روز پنجشنبه انواع مختلفی از فعالیت های شیطانی را انجام می داد. شش مورد از آنها سه بار بارگیری داشتند ، یکی برای جمع آوری کوکی های احراز هویت برای حساب های Discord ، دیگری برای استخراج کلمه عبور یا داده های کارت پرداخت ذخیره شده توسط مرورگرها ، و دیگری برای جمع آوری اطلاعات در مورد رایانه شخصی آلوده ، مانند آدرس های IP ، نام رایانه و نام کاربری.

    دو بسته باقیمانده دارای بدافزاری است که سعی می کند به یک آدرس IP تعیین شده توسط مهاجم در پورت TCP 9009 متصل شود و سپس هر کد پایتون که از سوکت در دسترس است را اجرا کند. اکنون مشخص نیست که آدرس IP چیست یا بدافزاری در آن میزبانی شده است.

    تبلیغات

    مانند اکثر بدافزارهای تازه کار Python ، این بسته ها فقط از یک پنهان سازی ساده مانند رمزگذارهای Base64 استفاده می کردند. در اینجا تجزیه و تحلیل بسته ها ذکر شده است: noblesse ، مبهم توسط PyArmor noblesse2 رنج می برند همانطور که noblesse noblessev2 رنج می برند همان noblesse pytagora leonora123 تزریق کد از راه دور pytagora2 leonora123 همان pytagora

    Karas به من گفت که شش بسته اول توانایی آلوده کردن کامپیوتر توسعه دهنده را دارد اما نمی تواند آلوده کننده باشد توسعه دهندگان کد با بدافزار نوشتند.

    "این امکان برای هر دو بسته pytagora و pytagora2 وجود دارد که امکان اجرای کد را بر روی دستگاه نصب شده آنها فراهم می کند." او در یک پیام مستقیم گفت. وی افزود: "پس از آلوده كردن دستگاه توسعه ، آنها اجازه اجرای كد را می دهند و سپس می توان محموله ای را توسط مهاجم بارگیری كرد كه می تواند پروژه های نرم افزاری در حال توسعه را اصلاح كند. با این وجود ، ما شواهدی در دست نداریم که این کار واقعاً انجام شده باشد. "

    مراقب بسته های بدافزار" Frankenstein "باشید

    به جای گذراندن روزها برای توسعه کدی که کارهای روزمره را انجام می دهد ، رمزگذاران می توانند در عوض به مخازنی مانند PyPI ، RubyGems یا npm بروید تا بسته های برنامه بالغی را دریافت کنید که همتایان از قبل توسعه داده اند. به عنوان مثال ، در میان 2.7 میلیون بسته موجود در PyPI ، بسته هایی وجود دارد که توسعه دهندگان می توانند با استفاده از داده های خراشیده شده از اینترنت ، برنامه ها را برای پیش بینی قیمت فروش خانه ، ارسال ایمیل از طریق سرویس ایمیل ساده آمازون یا بررسی کد منبع باز برای آسیب پذیری ها استفاده کنند. PyPI بسته هایی را برای نرم افزار نوشته شده در Python ارائه می دهد ، در حالی که RubyGems و npm بسته هایی را برای برنامه های Ruby و JavaScript ارائه می دهند.

    این نقش حیاتی باعث می شود که مخازن به عنوان یک مکان ایده آل برای حملات زنجیره تامین باشد که با استفاده از تکنیک های شناخته شده رایج شده به عنوان تایپ اسکوات یا سردرگمی وابستگی.

    خواندن بیشتر چگونه یک دانشجو کالج 17k رمزگذار را فریب داد تا اسکریپت طراحی شده خود را اجرا کند حملات زنجیره تامین مخزن حداقل به سال 2016 برمی گردد ، زمانی که یک دانشجوی دانشگاه بسته های مخربی را در PyPI بارگذاری کرد. در طی چند ماه ، کد جعل کننده وی بیش از 45000 بار در بیش از 17000 دامنه جداگانه اجرا شد و بیش از نیمی از زمان دریافت حقوق اداری همه جانبه به کد وی.

    خواندن بیشتر حملات یک ساله در زنجیره تامین علیه منبع باز در حال بدتر شدن است از آن زمان ، حملات زنجیره تأمین به یک رخداد منظم برای RubyGems و npm تبدیل شده است.

    خواندن بیشتر نوع جدیدی از حمله زنجیره تامین با عواقب جدی در حال شکوفایی است در ماه های اخیر ، هکرهای کلاه سفید نوع جدیدی از حمله زنجیره تامین را تهیه کرده اند که با بارگذاری کار می کند بسته های مخرب به مخازن کد عمومی و دادن نامی به آنها که مشابه بسته ای است که در مخزن داخلی یک نرم افزار محبوب ذخیره شده است. این حملات به اصطلاح وابستگی وابسته اپل ، مایکروسافت و 33 شرکت دیگر را به دام انداخته است.

    محققان JFrog گفتند ، براساس وضعیت فعلی امنیت مخزن ، اینترنت احتمالاً در آینده شاهد حملات بیشتری خواهد بود.

    "تقریباً تمام قطعه های کد تحلیل شده در این تحقیق مبتنی بر با استفاده از ابزارهای شناخته شده عمومی ، فقط با تغییر چند پارامتر ، "آنها نوشتند. "این ابهام همچنین بر اساس مبهم سازهای عمومی بود. ما انتظار داریم که بیشتر این بسته های مخرب "Frankenstein" را که از ابزارهای مختلف حمله (با تغییر پارامترهای اکسفیلتراسیون) بخیه زده شده اند ، مشاهده کنیم. "





خبرهای دیگر از اسباب