- Одна ошибка печати может похитить вашу систему хакером с помощью вредоносных программ, которая скрыта в фальшивых пакетах
- Кроссплатформенные вредоносные программы теперь даже опытные разработчики, подражая надежным именам пакетов с открытым исходным кодом
- Злоумышленники используют доверие разработчиков со скрытыми полезными нагрузками, которые избегают инструментов защиты вредоносных программ
Новая атака, проведенная цепочкой поставок, показала, как что -то безвредно похоже на ошибку печати, которую дверь может открыть для серьезных угроз кибербезопасности, предупредили эксперты.
Отчет по Checkmarx Умные трюки используют обвинения, чтобы заставить разработчиков загружать поддельные пакеты, что позволяет хакерам контролировать свои системы.
Атакующие нацелены в основном на пользователей Colorama, популярного пакета Python и Colorizr, аналогичного инструмента, используемого в JavaScript (NPM).
Пакет обмана и риск печати ошибок
«Эта кампания предназначена для пользователей Python и NPM в Windows и Linux о типике ошибок и атаки путаницы имени», — сказал Ариэль Харуш, исследователь в Checkmarx.
Злоумышленники используют технику, называемую типосокватинг. Вместо «Colorama» разработчик может случайно ввести «col0rama» или «Coloramaa» и загрузить вредную версию.
Эти фальшивые пакеты были загружены в репозиторий PYPI, который является основным источником библиотек Python.
«Мы обнаружили пакеты« Злоупотребление Python »(PYPI) в рамках кампании по ошибкам на типинг. Злоусовершенные пакеты включают пульт дистанционного управления, настойчивости и т. Д.», — сказал Даррен Мейер, поставщик исследований безопасности в Checkmarx.
Что делает эту кампанию необычной, так это то, что у злоумышленников есть смешанные имена из разных экосистем и используют имена из мира NPM (JavaScript) для разбуждения пользователей Python.
Это перекрестное целевое таргетинг редко и предлагает более продвинутую и потенциально скоординированную стратегию.
Нагрузки Windows и Linux имеют аналогичную загрузку -тимурирование и имена, но используют разные инструменты, тактику и инфраструктуры, что означает, что они могут не исходить из одного и того же источника.
После установки фальшивые пакеты могут нанести серьезный урон — в системах Windows вредоносное ПО создает задачи, чтобы обеспечить переменные для настойчивости и среды сбора урожая, которые могут содержать конфиденциальную информацию регистрации.
Он также пытается деактивировать даже лучшее антивирусное программное обеспечение с использованием команд PowerShell, таких как Set -Mppreference -DisibleOaavProtection $ true.
В Linux Systems, такие пакеты, как Coloricator и Coloraiz, имеют кодированные полезные нагрузки для создания зашифрованных обратных оболочков, общения через платформы, такие как Telegram и Discord, и для очистки данных, таких как Pastebin.
Эти сценарии не все выполняются одновременно; Они предназначены для скрытности и настойчивости, в результате чего такие методы, как Maskerading, используются в качестве процессов ядра и обработки RC.Local и Crontabs для автоматического выполнения.
Хотя вредоносные пакеты были удалены из общественного хранилища, угроза далеко не завершена.
Разработчики должны быть очень осторожны при установке пакетов, поскольку даже лучшие платформы защиты конечных точек должны бороться с этими тактикой по умолчанию. Всегда проверяйте правописание и убедитесь, что пакет поступает из надежного источника.
CheckMarx рекомендует организациям проверять все предоставленные и предоставленные пакеты, активно проверять код приложения, проверять частные репозиторы и блокировать известные вредоносные имена.
Вы также могли бы понравиться
