Zero
Un software di security engineer ha individuato 12 librerie Python caricato sul sito ufficiale di Python Package Index (PyPI) che contiene codice dannoso.
Il 12 pacchetti sono stati scoperti in due scansioni separate da un ingegnere che va online con il nome di Bertus, e sono stati a lungo rimosso dalla PyPI prima della pubblicazione di questo articolo.
Tutti i pacchetti sono stati messi insieme e lavorato seguendo un modello simile. Il loro creatore(s) copiato il codice di pacchetti popolari e creato una nuova libreria, ma con un nome leggermente modificato. Per esempio, quattro pacchetti (diango, djago, dajngo, djanga) sono stati errori di ortografia di Django, il nome di un molto popolare framework Python.
Le persone dietro questi dannosi pacchetti aggiunta di codice dannoso questi appena creato, ma completamente funzionale dei progetti, e più in particolare la setup.py i file. Setup.py i file contengono un set di istruzioni che la libreria Python installatori come “pip” esegui automaticamente durante il download e l’installazione di un nuovo pacchetto all’interno di un progetto di Python.
La natura di questo codice per eseguire le varie operazioni dannose e varia per ogni dannosi biblioteca.
Bertus scoperto un primo set di 11 dannoso pacchetti su ottobre 13 (vedi tabella sotto), e un altro dannoso pacchetto il 21 ottobre.
Immagine: Bertus
Il primo set di dannoso librerie avrebbe tenta di raccogliere i dati su ogni infetti ambiente, per ottenere l’avvio di persistenza, o addirittura aprire una reverse shell su stazioni di lavoro remote.
Xii pacchetto, denominato “colourama,” è stato finanziariamente motivati e dirottato infetto utenti del sistema operativo di appunti, dove sarebbe la scansione ogni 500ms per un indirizzo Bitcoin-come stringa, che sarebbe da sostituire con un attaccante proprio indirizzo Bitcoin, nel tentativo di dirottare Bitcoin pagamenti e i trasferimenti effettuati da un utente infetto.
Questo pacchetto, troppo, ha imitato il nome di una famosa libreria Python, denominato “colorama.”
Secondo il PyPI servizio Stats, 54 utenti che avevano scaricato il pacchetto prima di un mese non è stato bloccato. L’attaccante del Bitcoin indirizzo conteneva l’equivalente di soli $40, con l’ultimo trasferimento ricevuto il via nel mese di aprile, e suggerendo che il colourama pacchetto non è riuscito a fare soldi.
“Ho fornito il PyPI gli amministratori con il nome del pacchetto, e hanno rimosso il pacchetto” Bertus detto a ZDNet in un’intervista email. “Inoltre, hanno bloccato anche il nome colourama per qualsiasi futuro pacchetto registrazioni.”
Il ricercatore ci ha detto che ha scoperto che tutti e 12 i pacchetti utilizzando un sistema automatizzato ha creato se stesso, che ha analizzato l’PyPI repository per i pacchetti con nomi simili –tecnicamente definito come “errore di battitura-occupato” pacchetti.
Bertus dice che ha creato lo scanner dopo aver visto un avviso di sicurezza inviata dalla Nazionale slovacca Ufficio di Sicurezza lo scorso anno, che ha avvertito Python sviluppatori circa dieci dannoso librerie Python caricato su PyPI. Tali librerie, troppo, aveva usato typo-accovacciato nomi e aspettato per settimane per gli utenti di installare incidente o negligenza, prima di essere portato verso il basso.
“Al momento sono concentrato sul miglioramento Python (PyPI) scanner, e io cercherò di fare più scansioni regolari,” Bertus detto a ZDNet.
“Ho pensato di usare la mia ricerca di altri archivi come RubyGems o JavaScript npm, ma non ho avuto il tempo di esplorare ancora,” ha aggiunto. “Ci vorrà un po’ di tempo per attuare un altro repository dal momento che ogni linguaggio di programmazione e il repository è un po ‘ diverso.”
JavaScript npm repository di pacchetti necessita di un po di Bertus’ di tempo, di sicuro. Nel mese di agosto 2017, un sviluppatore svedese ha scoperto 38 typo-accovacciato JavaScript librerie caricate sul npm repo. Il codice dannoso in tali librerie raccolte locali le variabili di ambiente e caricato i dati al server dell’attaccante.
RELATIVI COPERTURA:
WordPress team di lavoro su “cancellare le vecchie versioni esistenza su internet”Giovani donne dominano nel software, ma ancora affrontare battute d’arresto CNETGitHub avvisi di sicurezza ora il supporto Java e .I progetti in rete
Il 10 lingue sviluppatori di utilizzare la maggior parte in progetti open source di TechRepublicNuovo DDoS botnet va dopo Hadoop enterprise server‘Kotlin per Android ora in più rapida crescita linguaggio di programmazione’Apple Swift picchi di popolarità, mentre Python ricadeCirca il 62 per cento di tutti i siti Internet esegui una nuova versione di PHP in 10 settimane
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0