Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Хакеры PyPI разработали новую хитрую тактику. Исследователи поймали их с поличным
Главная » Редакционный календарь » Безопасность цепочки поставок программного обеспечения » Хакеры PyPI используют новую хитрую тактику. Исследователи поймали их с поличным
Злоумышленники Python Package Index (PyPI) использовали скомпилированный код, чтобы избежать обнаружения.Возможно, это первая атака, использующая прямое выполнение файла .PYC, но, вероятно, не последняя.
Команда реверс-инжиниринга ReversingLabs под руководством Карло Занки (на фото) заметил тактику. В блог-наблюдении за безопасным программным обеспечением на этой неделе мы подведем итоги.
Ваш скромный наблюдатель за блогами подготовил эти фрагменты блога для вашего развлечения. Не говоря уже о «Пчелах в чемодане».
Что за чушь?Отчет Стивена Дж. Воган-Николса — «Скомпилированный код Python, использованный в новой атаке PyPI»:
«До шалости» PyPI не может сделать перерыв. Популярный репозиторий кода языка программирования Python подвергся многочисленным атакам, и на некоторое время ему пришлось ограничить новых участников. Теперь [есть] новая атака… чтобы обойти сканеры безопасности программного кода. … Большой. Просто великолепно... Он использует ранее неизведанный подход, используя возможности... файлов байт-кода Python (PYC)... для непосредственного выполнения. Таким образом, он избегает инструментов безопасности, которые сканируют файлы исходного кода Python (PY) на наличие проблем. Команда ReversingLabs обнаружила подозрительный пакет, когда ее платформа безопасности цепочки поставок программного обеспечения ReversingLabs обнаружила подозрительное поведение в… скомпилированном двоичном файле.…[Это] запустило ранее невиданную технику загрузки внутри файла main.py, которая позволяет избежать использования обычной директивы импорта… чтобы избежать обнаружение средствами безопасности. … Короче говоря, они задумали пакости. … После активации загруженная библиотека будет выполнять множество вредоносных функций, таких как сбор имен пользователей, имен хостов и списков каталогов, а также выборка команд для выполнения с помощью запланированных задач или заданий cron.
Заполнив пробелы,это Нейт Нельсон — «Новая вредоносная программа PyPI использует скомпилированный байт-код Python для уклонения от обнаружения»:
«Злоумышленники эволюционируют» Вредоносные пакеты не являются чем-то новым или особенно редким в PyPI, но в отличие от многих из них, fshec2 содержал все свои вредоносные функции внутри скомпилированного кода, что затрудняло их обнаружение. … Гениальность fshec2 заключается в том, что он отказывается от основных правил хорошей хакерской гигиены: [он] заранее загружает свои вредоносные функции и вообще не полагается на инструменты запутывания.… Байт-код — это представление Python, скомпилированное как набор инструкций для виртуальной машины Python. … Он существует где-то между исходным кодом и машинным двоичным файлом… «Произошло огромное увеличение количества… вредоносных библиотек Python, используемых для обслуживания вредоносных программ», – говорит Эшли Бендж, директор по защите информации об угрозах в ReversingLabs. … «Это поведение немного более изощренное, и оно показывает, что злоумышленники развиваются и обращают внимание на более эффективные методы обнаружения. … Мы, вероятно, продолжим наблюдать рост такого рода атак в будущем. "
И твой босс пойметЛучиан Константин — «Большинство инструментов сканирования уязвимостей не читают скомпилированное программное обеспечение с открытым исходным кодом»:
«Современные угрозы цепочки поставок программного обеспечения» Подавляющее большинство пакетов, найденных в общедоступных репозиториях, таких как npm для JavaScript, PyPI для Python и RubyGems для Ruby, состоят из файлов с открытым исходным кодом, упакованных в архивы. Их легко распаковывать и читать, и в результате сканеры безопасности для этих репозиториев были созданы для обработки такого типа упаковки… Чтобы справиться с этими современными угрозами в цепочке поставок программного обеспечения, организациям нужно нечто большее, чем просто решения для статического анализа кода. … Злоумышленники ведут постоянную борьбу с охранными компаниями, чтобы избежать обнаружения.
Лошадиный рот?Карло Занки из ReversingLabs — «Когда байт-код кусается»:
«Ошибки конфигурации» Возможно, это первая атака на цепочку поставок, в которой используется тот факт, что… файлы PYC можно запускать напрямую. … Мы сообщили об обнаруженном пакете под названием fshec2 команде безопасности PyPI 17 апреля 2023 г., и в тот же день он был удален из репозитория PyPI. [Они] признали, что ранее этого не наблюдалось… ReversingLabs регулярно сканирует реестры с открытым исходным кодом, такие как PyPi, npm, RubyGems и GitHub, в поисках подозрительных файлов. … Они часто бросаются в глаза среди миллионов законных … файлов, размещенных на этих платформах, потому что они демонстрируют странные качества или поведение. … Так было в случае с fshec2: … Сканирование с использованием платформы ReversingLabs Software Supply Chain Security… выявило подозрительную комбинацию поведения из двоичного файла, скомпилированного fshec2… Учитывая зависимость вредоносного ПО от удаленной инфраструктуры C2, имело смысл исследовать Интернет хост, использованный в атаке. … Как и обычные разработчики, авторы вредоносных программ часто допускают ошибки конфигурации при настройке инфраструктуры. … Огромное количество этих ошибок может привести нас к выводу, что эта атака не была работой спонсируемого государством субъекта и не являлась продвинутой постоянной угрозой (APT).