Zero
Un logiciel de sécurité de l’ingénieur a identifié 12 bibliothèques Python téléchargé sur le site officiel de Python Package Index (PyPI) qui contient du code malveillant.
Le 12 paquets ont été découverts dans deux scans par un ingénieur en sécurité qui est mis en ligne par le nom de Bertus, et ont longtemps été supprimé depuis PyPI avant cet article de la publication.
Tous les paquets ont été mis en place et a travaillé suivant un schéma similaire. Leur créateur(s) copié le code de packages populaires et créé une nouvelle bibliothèque, mais avec un nom légèrement modifié. Par exemple, quatre paquets (diango, djago, dajngo, djanga) ont été les fautes d’orthographe de Django, le nom du très populaire Python cadre.
Les gens derrière ces les paquets malveillants ajout du code malveillant à ces nouvellement créé, mais entièrement fonctionnel des projets et plus précisément à la setup.py les fichiers. Setup.py les fichiers contiennent un ensemble d’instructions bibliothèque Python installateurs comme “pip” exécuter automatiquement lors du téléchargement et de la configuration d’un nouveau paquet à l’intérieur d’un projet de Python.
La nature de ce code supplémentaire a été d’effectuer diverses opérations malveillantes et variées pour chaque malveillants bibliothèque.
Bertus découvert une première série de 11 les paquets malveillants, le 13 octobre (voir le tableau ci-dessous), et un autre malveillant colis le 21 octobre.
Image: Bertus
La première série de malveillant bibliothèques serait tenté de recueillir des données sur chaque infectés de l’environnement, d’obtenir de démarrage de la persistance, ou même ouvrir un reverse shell sur les postes de travail à distance.
La douzième package, nommé “colourama,” a été financièrement motivés et ont détourné un infecté des utilisateurs du système d’exploitation de presse-papiers, où il analyse toutes les 500ms pour une adresse Bitcoin-comme string, qu’elle serait à remplacer par l’attaquant propre adresse Bitcoin dans une tentative de détourner Bitcoin versements/virements effectués par un utilisateur infecté.
Ce package, trop, imité le nom d’un célèbre bibliothèque Python, nommé “colorama.”
Selon le PyPI service Stats, 54 utilisateurs ont téléchargé le package d’un mois avant qu’il a été pris vers le bas. L’attaquant de l’adresse Bitcoin contenait l’équivalent de seulement 40$, avec le dernier transfert reçu chemin du retour en avril, et en suggérant que le colourama ont échoué à faire de l’argent.
“J’ai fourni le PyPI administrateurs avec le nom du paquet, et ils ont supprimé le paquet,” Bertus dit ZDNet dans une interview par email. “En outre, ils ont également bloqué le nom colourama pour le futur paquet enregistrements.”
Le chercheur nous a dit qu’il a découvert tous les 12 paquets en utilisant un système automatisé système qu’il a créé lui-même qui a analysé le PyPI référentiel pour les paquets avec des noms similaires –techniquement appelé “typo-accroupis de” packages.
Bertus dit qu’il a créé le scanner après avoir vu une alerte de sécurité envoyés par le slovaque Bureau de la Sécurité Nationale l’année dernière, qui a averti Python développeurs sur dix malveillants bibliothèques Python téléchargé sur PyPI. Ces bibliothèques, aussi, avait utilisé une typo-accroupis noms et attendu pendant des semaines pour les utilisateurs de les installer par accident ou négligence, avant d’être pris vers le bas.
“Pour l’instant, je suis concentré sur l’amélioration de l’Python (PyPI) scanner, et je vais faire plus d’analyses régulières,” Bertus dit ZDNet.
“J’ai pensé à utiliser mes recherches pour d’autres référentiels comme RubyGems ou JavaScript du mnp, mais je n’ai pas eu le temps de l’explorer encore,” at-il ajouté. “Il faudra un certain temps pour le mettre en oeuvre un autre référentiel, puisque chaque langage de programmation et le référentiel est un peu différent.”
JavaScript est mnp dépôt de paquets besoins de certains de Bertus, pour sûr. En août 2017, un développeur suédois a découvert 38 typo-accroupis de bibliothèques JavaScript téléchargé sur le mécanisme national de prévention des pensions. Le code malveillant dans les bibliothèques recueilli les variables d’environnement et de télécharger les données de l’attaquant du serveur.
COUVERTURE LIÉE:
WordPress équipe de travail sur “essuyer les anciennes versions de l’existence sur internet”de Jeunes femmes dominent dans les logiciels, mais toujours face à des revers CNETGitHub alertes de sécurité maintenant en charge de Java et de .Projets NET
Les 10 langues les développeurs à utiliser dans la plupart des projets open source TechRepublicNouveau DDoS botnet va après Hadoop serveurs d’entreprise‘Kotlin pour Android maintenant la croissance la plus rapide du langage de programmation’Apple Swift pics de popularité tout en Python tombe en arrière, d’Environ 62 pour cent de tous les sites Internet fonctionnera pas pris en charge la version de PHP en 10 semaines
Rubriques Connexes:
Open Source
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0