Noll
En programvara för säkerhet ingenjör har identifierat 12 Python bibliotek laddas upp på den officiella Python-Paket Index (PyPI) som innehöll skadlig kod.
12 paket har upptäckts i två separata skannar av en säkerhet ingenjör som går ut på nätet vid namn Bertus, och har länge varit bort från PyPI innan denna artikel publicerades.
Alla paket var ihop och arbetade efter ett liknande mönster. Deras skapare(s) kopierade koden populära paket och skapat ett nytt bibliotek, men med en något modifierad namn. Till exempel, fyra paket (diango, djago, dajngo, djanga) var felstavningar av Django, namnet på en mycket populär Python ram.
Människorna bakom dessa skadliga paket lagt till skadlig kod för att dessa nyskapade, men fullt fungerande projekt, och mer specifikt till setup.py filer. Setup.py filerna innehåller en uppsättning instruktioner som Python bibliotek installatörer som “pip” starta automatiskt när du laddar ner och sätta upp ett nytt paket inuti ett Python-projekt.
Arten av den här extra koden var att utföra olika skadliga verksamheter och varierad per varje skadlig bibliotek.
Bertus upptäckte en första uppsättning av 11 skadlig paket den 13 oktober (se tabell nedan), och annan skadlig paket den 21 oktober.
Bild: Bertus
Den första uppsättningen av skadlig bibliotek skulle försöka att antingen samla in uppgifter om varje infekterad miljö, få starta uthållighet, eller ens öppna en omvänd skal på separata arbetsstationer.
Den tolfte paket, som heter “colourama,” var ekonomiskt motiverade och kapade en infekterad användarnas operativsystem windows urklipp, där det skulle skanna varje 500ms för en Bitcoin-adress-som string, som att det skulle ersätta med angriparens egen Bitcoin-adress i ett försök att kapa Bitcoin-betalningar/överföringar som görs av en infekterad användaren.
Detta paket också, liknade namnet på en populär Python bibliotek, som heter “colorama.”
Enligt PyPI Statistik tjänsten, 54 användare hade hämtat paketet en månad innan den togs ner. Angriparens Bitcoin-adress som finns motsvarande för endast $40, med den senaste överföringen tas emot långt tillbaka i April, och som tyder på att de colourama paket misslyckats med att göra några pengar.
“Jag gav PyPI-administratörer med paketet namn, och de tog bort paketet,” Bertus berättade ZDNet i en e-post intervju. “Dessutom, de är också blockerade namn colourama för eventuella framtida paket registreringar.”
Forskaren berättade att han upptäckt alla 12 paket med hjälp av ett automatiserat system han skapat sig själv som skannas PyPI-arkiv för paket med liknande namn –tekniskt kallas för “stav-huk” paket.
Bertus säger han skapade skanner efter att ha sett en säkerhetsvarning som skickas ut av det slovakiska Nationella säkerhetsbyrån förra året varnade Python utvecklare om tio skadliga Python bibliotek laddas upp på PyPI. Dessa bibliotek hade även användas typo-huk namn och väntade i veckor för användare att installera dem av misstag eller slarv, innan de togs ner.
“Just nu är jag fokuserad på att förbättra Python (PyPI) scanner, och jag kommer att göra mer regelbundna genomsökningar,” Bertus berättade ZDNet.
“Jag har funderat på att använda min forskning för andra arkiv som RubyGems eller JavaScript är npm, men har inte haft tid att utforska det ännu,” tillade han. “Det kommer att ta tid att genomföra det för en annan förrådet eftersom varje programmeringsspråk och förrådet är lite olika.”
JavaScript är npm paketarkiv behöver en del av Bertus’ tid, för säker. I augusti 2017, en svensk utvecklare upptäckte 38 typo-huk JavaScript-bibliotek som laddats upp på npm repo. Den skadliga koden i de bibliotek som samlas in lokala miljövariabler och överfört data till angriparens server.
RELATERADE TÄCKNING:
WordPress team arbetar på “torka äldre versioner från existens på internet”Unga kvinnor dominerar i programvara, men fortfarande möter motgångar CNETGitHub säkerhetsvarningar som nu har stöd för Java och .ÅRETS projekt
Den 10 språk utvecklare använder mest i open source-projekt TechRepublicNya DDoS-botnät går efter Hadoop enterprise-servrar‘Kotlin för Android nu snabbast växande programspråket’Apple ‘ s Snabba uppgångar i popularitet medan Python faller tillbakaCirka 62 procent av alla Internet-webbplatser kommer att köra en PHP-version som inte stöds i 10 veckor
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0