Oprez: Nova Napad na Opskrbni Lanac Pokazuje Opasnosti Od Grešaka u Unosu
Stručnjaci su upozorili da čak i naizgled bezopasna greška u unosu može otvoriti vrata ozbiljnim prijetnjama za cybersigurnost. Nedavna izvještaj tvrtke Checkmarx otkriva kako zlonamjerni akteri koriste pametne trikove za obmanu programera kako bi preuzeli lažne pakete, pružajući tako hakera kontrolu nad njihovim sustavima. Ova kampanja uglavnom cilja korisnike Colorame, popularnog Python paketa, i Colorizora, sličnog alata za JavaScript (NPM).
Cilj Kampanje
Ariel Harush, istraživač u Checkmarxu, objasnio je da “ova kampanja cilja Python i NPM korisnike na Windows i Linux sustavima putem napada temeljeno na grešakama u unosu i zabuni imenom.” Napadači koriste tehniku poznatu kao “typosquatting”. Na primjer, umjesto “colorama”, programer može slučajno otkucati “col0rama” ili “coloramaa” i preuzeti zloćudnu verziju paketa.
Zloćudni Paketi i Njihova Opasnost
Ovi lažni paketi su preneseni na PyPI repozitorij, glavnu referencu za Python biblioteke. “Otkrili smo zloćudne Python (PyPI) pakete kao dio kampanje temeljene na greškama u unosu. Ovi zloćudni paketi omogućuju daljinsku kontrolu, trajnu prisutnost itd.,” rekao je Darren Meyer, zagovornik sigurnosnog istraživanja u Checkmarxu.
Neobična Strategija Napadača
Ono što ovu kampanju čini neobičnom jest to da napadači miješaju imena iz različitih ekosustava, koristeći nazive iz NPM svijeta (JavaScript) kako bi zavarali Python korisnike. Ovo međusobno ciljanje platformi je rijetko i sugerira napredniju i potencijalno koordiniranu strategiju. Windows i Linux paketi imaju slična vremena učitavanja i nazive, ali koriste različite alate, taktike i infrastrukturu, što znači da možda nisu s istog izvora.
Kako Malware Funkcionira
Jednom kada se lažni paketi instaliraju, mogu nanijeti ozbiljnu štetu. Na Windows sustavima, zloćudni softver stvara zakazane zadatke kako bi održao trajnu prisutnost i prikupio varijable okruženja, uključujući osjetljive vjerodajnice. Također se pokušava onemogućiti čak i najbolji antivirusni softver, koristeći PowerShell naredbe poput Set-MpPreference -DisableIOAVProtection $true. Na Linux sustavima, paketi poput Colorizatora i coloraiz nose kodirane terete za stvaranje šifriranih obrnutih veza, komunicirajući putem platformi kao što su Telegram i Discord, te exfiltriraju podatke na usluge poput Pastebina.
Postupak i Preporuke za Razvojne Timove
Ovi skripti se ne izvršavaju odjednom; dizajnirani su za neprimjetnost i trajnu prisutnost, koristeći tehnike poput maskiranja kao procesi jezgre i uređivanja rc.local i crontabs za automatsko izvršavanje. Iako su zloćudni paketi uklonjeni iz javnih repozitorija, prijetnja nije ni izdaleka gotova. Razvojni timovi trebaju biti vrlo oprezni prilikom instalacije paketa, jer čak i najbolji sustavi zaštite od krajnjih točaka imaju problema s ovim iznimno vještičim taktikama.
Zaključak
Uvijek dvaput provjerite pravopis i osigurajte da paketi dolaze iz pouzdanih izvora. Checkmarx preporučuje organizacijama da audituju sve implementirane i moguće implementirane pakete, proaktivno ispituju izvorni kod aplikacija, pomno pretražuju privatne repozitorije i blokiraju poznata zloćudna imena. Ova praksa može pomoći u prevenciji budućih napada i povećanju sigurnosti sustava.
