W zeszłym tygodniu zautomatyzowana platforma wykrywania ryzyka powiadomiła o podejrzanej aktywności w dziesiątkach nowo opublikowanych pakietów PyPI. Wygląda na to, że te pakiety są bardziej wyrafinowaną próbą dostarczenia W4SP Stealer na komputery programistów Pythona poprzez ukrycie złośliwego __import__ .
Wstrzykiwanie złośliwego kodu w mniejsze (i mniej znane) biblioteki, ale takie, które wykorzystywane są jako zależności do innych programach to znana technika, tzw. supply chain attack. Okazuje się, że od połowy października ktoś regularnie próbuje w ten sposób zainfekować programistów Pythona.
Importy zostały wstrzyknięte w pliki setup.py lub __init__.py. Ale co ciekawe, niektóre z nich zostały dodane po sporej liczbie spacji, aby na pierwszy rzut oka nie były tak łatwo zauważalne:
Inną techniką wykorzystywaną przez atakujących było dodawanie “pip install” do plików setup.py.
Payload po deobfuskacji zawierał następujące żądanie:
hxxp://wasp.plague[.]fun/inject/Fu643XzaSbmCcnGNTo tylko jeden z przykładowych URL-i. Ale mimo wszystko warto sprawdzić logi wyjściowe z waszej sieci i środowisk programistycznych do tego adresu. Co jeszcze warto zrobić? Sprawdźcie, czy od 12 października nie pobraliście i nie skorzystaliście z podmienionej, złośliwej wersji tych bibliotek:
typesutil
typestring
sutiltype
duonet
fatnoob
strinfer
pydprotect
incrivelsim
twyne
pyptext
installpy
faq
colorwin
requests-httpx
colorsama
shaasigma
stringe
felpesviadinho
cypress
pystyte
pyslyte
pystyle
pyurllib
algorithmic
oiu
iao
curlapi
type-color
pyhints
Supply chain attack to tylko jeden z przykładów ataków, które mogą być bolesne dla programistów. Inne bazują wprost na błędach w kodzie tworzonych aplikacji. Dlatego warto wiedzieć, jakich błędów nie popełniać i jakimi technikami/narzędziami takie błędy w porę wychwytywać. To pokazuje niebezpiecznik na swoich szkoleniach
