Diversas bibliotecas Python com typosquatted maliciosas encontradas no repositório PyPI

40

Até oito pacotes Python que foram baixados mais de 30.000 vezes foram removidos do portal PyPI por conter código malicioso, mais uma vez destacando como os repositórios de pacotes de software estão evoluindo para um alvo popular para ataques à cadeia de suprimentos.

“A falta de moderação e controles de segurança automatizados em repositórios de software públicos permitem que até mesmo invasores inexperientes os usem como uma plataforma para espalhar malware, seja por meio de typosquatting, confusão de dependências ou ataques de engenharia social simples”, pesquisadores do JFrog Andrey Polkovnichenko, Omer Kaspi e Shachar Menashe disse quinta-feira.

PyPI, abreviação de Python Package Index, é o repositório oficial de software de terceiros para Python, com utilitários de gerenciamento de pacotes como pip contando com ele como a fonte padrão para pacotes e suas dependências.

Os pacotes Python em questão, que foram encontrados ofuscados usando a codificação Base64, estão listados abaixo –

  • pytagora (carregado por leonora123)
  • pytagora2 (carregado por leonora123)
  • noblesse (carregado por xin1111)
  • genesisbot (carregado por xin1111)
  • são (carregados por xin1111)
  • sofrer (carregado por sofrer)
  • noblesse2 (carregado por sofre)
  • noblessev2 (carregado por sofre)
Publicações Relacionadas

Os pacotes mencionados acima podem ser usados ​​de forma abusiva para se tornarem um ponto de entrada para ameaças mais sofisticadas, permitindo que o invasor execute código remoto na máquina alvo, acumule informações do sistema, roube informações de cartão de crédito e senhas salvas automaticamente nos navegadores Chrome e Edge e até mesmo roube Tokens de autenticação discord para fazer-se passar pela vítima.

O PyPI dificilmente está sozinho entre os repositórios de pacotes de software que surgiram como uma superfície de ataque potencial para intrusos, com pacotes maliciosos descobertos em npm e RubyGems equipados com recursos que poderiam interromper um sistema inteiro ou servir como um valioso ponto de partida para se aprofundar mais rede de uma vítima.

No mês passado, Sonatype e Vdoo divulgaram pacotes typosquatted em PyPi que foram encontrados para baixar e executar um script de shell de carga útil que, por sua vez, recuperou um criptominer de terceiros, como T-Rex, ubqminer ou PhoenixMiner para minerar Ethereum e Ubiq na vítima sistemas.

“A descoberta contínua de pacotes de software malicioso em repositórios populares como o PyPI é uma tendência alarmante que pode levar a ataques generalizados à cadeia de suprimentos”, disse JFrog CTO Asaf Karas. “A capacidade dos invasores de usar técnicas simples de ofuscação para introduzir malware significa que os desenvolvedores devem se preocupar e estar vigilantes. Esta é uma ameaça sistêmica e precisa ser ativamente tratada em várias camadas, tanto pelos mantenedores dos repositórios de software quanto pelos desenvolvedores . “

“Do lado dos desenvolvedores, medidas preventivas, como verificação de assinaturas de biblioteca e emprego de ferramentas automatizadas de segurança de aplicativos que procuram dicas de código suspeito incluído no projeto, devem ser parte integrante de qualquer pipeline de CI / CD. Ferramentas automatizadas, como estes podem alertar quando paradigmas de código malicioso estão sendo usados ​​”, acrescentou Karas.

você pode gostar também