Nul
En software security engineer har identificeret 12 Python-biblioteker, der uploades på den officielle Python-Pakke Indeks (PyPI), der indeholdt skadelig kode.
De 12 pakker er blevet opdaget i to forskellige scanninger med en sikkerhed ingeniør, der går online ved navn Bertus, og har længe været fjernet fra PyPI, før denne artikel blev offentliggjort.
Alle pakker blev sat sammen og arbejdede efter et lignende mønster. Deres skaber(er) er kopierede kode populære pakker og skabt et nyt bibliotek, men med en lidt ændret navn. For eksempel, fire pakker (diango, djago, dajngo, djanga) var stavefejl i Django, navnet på en meget populær Python ramme.
Folkene bag disse ondsindede pakker tilføjet skadelig kode for at disse nyoprettede, men fuldt funktionelle projekter, og mere specifikt til setup.py filer. Setup.py filer, der indeholder et sæt af instruktioner, Python-bibliotek installatører som “pip” udfør automatisk, når du downloader og opretter en ny pakke inde i en Python-projektet.
Karakteren af denne ekstra kode til at udføre forskellige ondsindede aktiviteter og varieret hver ondsindede bibliotek.
Bertus opdaget et første sæt af 11 ondsindede pakker på 13 oktober (se tabel nedenfor), og en anden ondsindet pakke oktober 21.
Billede: Bertus
Det første sæt af ondsindede biblioteker ville forsøge enten at indsamle data om hver inficeret miljø, få boot vedholdenhed, eller endda åbne en omvendt shell på eksterne arbejdsstationer.
Det tolvte pakke, som hedder “colourama,” var økonomisk motiveret og kapret en inficeret brugere’ operativsystem klippebord, hvor det ville scanne hver 500ms for en Bitcoin adresse-som string, som det ville erstatte med angriberens egen Bitcoin adresse i et forsøg på at kapre Bitcoin betalinger/overførsler, der foretages af en inficeret bruger.
Denne pakke, for, også navnet på en populær Python-bibliotek, kaldet “colorama.”
Ifølge PyPI Stats tjeneste, 54 brugere havde hentet pakken en måned, før den blev taget ned. Angriberen er Bitcoin adresse, som er indeholdt svarer til kun $40, med den seneste overførsel, der modtages helt tilbage i April, og tyder på, at colourama pakke undladt at foretage nogen penge.
“Jeg har oplyst PyPI administratorer med den pakke, navn, og de fjernede pakke,” Bertus fortalte ZDNet i en e-mail interview. “Hertil kommer, at de også blokeret navn colourama for eventuelle fremtidige pakke registreringer.”
Forskeren fortalte os, at han opdagede alle 12 pakker ved hjælp af et automatiseret system, skabte han sig selv, der er scannet den PyPI repository for pakker med lignende navne-teknisk set omtalt som “typo-satte sig på hug” – pakker.
Bertus siger, at han skabte den scanner efter at have set en sikkerhedsadvarsel, der sendes ud i den slovakiske Nationale Sikkerhed Kontor sidste år, der advarede om, Python-udviklere omkring ti ondsindede Python-biblioteker, der uploades på PyPI. De biblioteker, der også havde brugt typo-navne satte sig på hug og ventede til uger for brugerne at installere dem ved et uheld eller skødesløshed, inden de blev taget ned.
“I det øjeblik, jeg er fokuseret på at forbedre Python (PyPI) scanner, og jeg vil gøre mere regelmæssige scanninger,” Bertus fortalte ZDNet.
“Jeg har tænkt på at bruge min forskning til andre arkiver som RubyGems eller JavaScript npm, men har ikke haft tid til at udforske det endnu,” tilføjede han. “Det vil tage noget tid at gennemføre det til et andet arkiv, da de enkelte programmeringssprog og repository er en smule anderledes.”
JavaScript er npm package repository behov for nogle af Bertus’ tid, for sikker. I August 2017, en svensk udvikler opdaget 38 typo-satte sig på hug JavaScript-biblioteker, der uploades på npm repo. Den ondsindede kode i de biblioteker, der er indsamlet lokale miljø-variabler og uploadet data til hackerens server.
RELATEREDE DÆKNING:
WordPress team arbejder på at “tørre ældre versioner fra eksistens på internettet”Unge kvinder dominerer i software, men står stadig over for tilbageslag CNETGitHub sikkerhedsadvarsler nu understøtter Java .NET-projekter
De 10 sprog udviklere bruger mest i open source-projekter, TechRepublicNye DDoS-botnet går efter Hadoop enterprise servere‘Kotlin til Android nu hurtigst voksende programmeringssprog’Apple ‘ s Hurtige stigninger i popularitet, mens Python falder tilbageOmkring 62 procent af alle websteder på Internettet vil køre en ikke-understøttet version af PHP i 10 uger
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0