Twaalf schadelijke Python bibliotheken gevonden en verwijderd uit PyPI

0
191

Nul

pypi.png

Een software security engineer heeft geïdentificeerd 12 Python bibliotheken geüpload op de officiële Python Package Index (PyPI) die schadelijke code.

De 12-pakketten zijn ontdekt in twee afzonderlijke scans door een security engineer die gaat online de door de naam van Bertus en zijn al lang verwijderd uit PyPI voordat dit artikel is de publicatie.

Alle pakketten zijn samengesteld en werkte volgens een vergelijkbaar patroon. De maker(s) gekopieerd van de code van de populaire pakketten en creëerde een nieuwe bibliotheek, maar met een iets gewijzigde naam. Bijvoorbeeld vier pakketten (diango, djago, dajngo, djanga) werden spelfouten van Django, de naam van een zeer populaire Python framework.

De mensen achter deze kwaadaardige pakketten toegevoegd kwaadaardige code om deze nieuw aangemaakt, maar volledig functionele projecten, en meer in het bijzonder om de setup.py -bestanden. Setup.py bestanden bevatten een set van instructies die Python-bibliotheek installateurs als de “pip” automatisch worden uitgevoerd bij het downloaden en het opzetten van een nieuw pakket binnen een Python project.

De aard van deze extra code voor het uitvoeren van diverse schadelijke activiteiten en gevarieerd per kwaadaardige bibliotheek.

Bertus ontdekt een eerste set van 11 kwaadaardige pakketten op 13 oktober (zie tabel hieronder), en andere schadelijke pakket op 21 oktober.

pypi-malicious-packages.png
Afbeelding: Bertus

De eerste set van schadelijke bibliotheken zou proberen om ofwel het verzamelen van gegevens over elke besmette omgeving, verkrijgen boot persistentie, of zelfs het openen van een omgekeerde schelp op externe werkstations.

De twaalfde pakket, genaamd “colourama,” financieel-gemotiveerd en gekaapt een geïnfecteerde gebruikers van het besturingssysteem van klembord, waar het zou scan elke 500ms voor een Bitcoin adres-zoals string, die zou vervangen met de aanvaller eigen Bitcoin-adres in, in een poging te kapen Bitcoin betalingen/transfers gemaakt door een geïnfecteerde gebruiker.

Dit pakket, ook deed de naam van een populaire Python-bibliotheek, met de naam ‘ colorama.”

Volgens de PyPI Stats service, 54 gebruikers had gedownload van het pakket een maand voordat het werd afgebroken. De aanvaller Bitcoin adres van het equivalent van slechts $40, met de laatste overdracht ontvangen manier terug in April, en te suggereren dat de colourama pakket is mislukt om geld te maken.

“Ik gaf de PyPI beheerders met de package-naam, en ze verwijderd van het pakket,” Bertus vertelde ZDNet in een e-mail interview. “Daarnaast zijn ze ook geblokkeerd de naam colourama voor eventuele toekomstige pakket registraties.”

De onderzoeker vertelde ons dat hij ontdekt al 12 pakketten door het gebruik van een geautomatiseerd systeem dat hij zichzelf gemaakt dat gescande de PyPI repository voor pakketten die met vergelijkbare namen –technisch aangeduid als “typo-gekraakt” pakketten.

Bertus zegt hij schiep de scanner na het zien van een security alert verstuurd door de slowaakse Nationale Veiligheid Office vorig jaar waarschuwde Python ontwikkelaars over tien schadelijke Python bibliotheken geupload op PyPI. Deze bibliotheken, ook had gebruikt typo-vandaag namen en wachtte weken voor gebruikers om ze te installeren, door ongeval of onachtzaamheid, voordat het wordt afgebroken.

“Op het moment ben ik gericht op het verbeteren van de Python (PyPI) scanner, en ik zal meer doen regelmatig scans,” Bertus vertelde ZDNet.

“Ik heb nagedacht over het gebruik van mijn onderzoek voor andere repositories als RubyGems of JavaScript is npm, maar heb geen tijd gehad om het te verkennen en toch,” voegde hij eraan toe. “Het zal enige tijd duren om het uit te voeren voor een andere repository aangezien elke programmeertaal en-gegevensopslagruimte is een beetje anders.”

JavaScript is npm package repository moet sommige van Bertus’ tijd, dat is zeker. In augustus 2017, een zweedse ontwikkelaar ontdekte 38 typo-gekraakt JavaScript bibliotheken die op het npm repo. De kwaadaardige code in die bibliotheken verzameld, lokale variabelen en uploaden van de gegevens naar de aanvaller de server.

VERWANTE DEKKING:

WordPress team werken aan “het afvegen van oudere versies van het bestaan op het internet”Jonge vrouwen domineren in de software, maar nog steeds geconfronteerd met tegenslagen CNETGitHub veiligheidswaarschuwingen nu ondersteuning biedt voor Java-en .NETTO projecten
De 10 talen ontwikkelaars gebruiken de meeste open source-projecten TechRepublicNieuwe DDoS-botnet gaat na Hadoop enterprise-servers‘Kotlin voor Android nu snelst groeiende programmeertaal’Apple voor de Snelle toename in populariteit, terwijl Python valt terugop Ongeveer 62 procent van alle Internet sites zal het uitvoeren van een niet-ondersteunde PHP-versie in 10 weken

Verwante Onderwerpen:

Open Source

Beveiliging TV

Data Management

CXO

Datacenters

0