Afbeelding: ReversingLabs
Een security bedrijf vond drie kwaadaardige Python bibliotheken geüpload op de officiële Python Package Index (PyPI), die een verborgen achterdeur die zou activeren wanneer de bibliotheken zijn geïnstalleerd op een Linux-systemen.
De drie pakketten-vernoemd libpeshnx, libpesh, en libari — zijn geschreven door dezelfde gebruiker (naam ruri12) en was al beschikbaar voor de download van PyPI voor bijna 20 maanden, sinds November 2017, voordat de pakketten waren ontdekte eerder deze maand door de beveiliging reserchers van ReversingLabs.
De PyPI team verwijderd van de pakketten op 9 juli, de dag ReversingLabs kennis van de PyPI repo-beheerders over hun bevindingen.
Geen van de drie pakketten ooit vermeld een beschrijving, dus het is onmogelijk te zeggen wat was hun doel. Echter, PyPI statistieken toonden aan dat de pakketten werden regelmatig gedownload, met tientallen maandelijkse installaties voor elkaar.
Maandelijkse downloads voor één van de kwaadaardige bibliotheken
Afbeelding: ReversingLabs
Als voor de kwaadaardige code, het was een eenvoudige backdoor mechanisme dat alleen geactiveerd wanneer het is geïnstalleerd op Linux-systemen.
“Als het pakket is geïnstalleerd via Python package manager wacht het om opgeroepen te worden door de gebruiker,” ReversingLabs Chief Software Architect en Oprichter Tomislav Pericin vertelde ZDNet in een interview.
“Als uitgevoerd door de gebruiker, de backdoor wordt actief”, zei hij. “Er is ook een installatie procedure dat maakt het runnen van de backdoor meer geautomatiseerd.”
ReversingLabs zegt de achterdeur werd een interactieve shell die aanvallers zou hebben gebruikt om verbinding te maken en opdrachten uitvoeren op computers geïnstalleerd de drie bibliotheken.
Op het moment ReversingLabs vinden de drie bibliotheken, de achterdeur werd alleen actief in de libpeshnx bibliotheek, maar de andere twee pakketten (libpesh en libari) die “verwijzingen naar de schadelijke functie zonder code,” suggereert de auteur had verwijderd, of was het voorbereiden van de uitrol van backdoored versies van de twee andere bibliotheken en instellingen.
Als voor de ontwikkelaar achter de drie kwaadaardige pakketten, Pericin was vrij duidelijk over wat er gebeurde.
“De rekening was niet in gevaar,” zei hij tegen ZDNet. “De gebruiker het uploaden van pakketten met een duidelijke intentie om te misleiden ontwikkelaars in deze op te nemen in hun code. Zodra die code zou kunnen worden van de bron van het compromis.”
Pericin het team vond de kwaadaardige bibliotheken nadat ze gescand in de hele PyPi repository voor verdachte bestandsformaten verborgen in Python bibliotheken, zoals PE en EXE-bestand formaten. In totaal heeft het bedrijf zei dat het gescande meer dan een miljoen PyPI pakketten. Meer details over dit proces voor het scannen zijn beschikbaar in het bedrijf op zijn blog.
Vorig jaar, een security-onderzoeker genaamd Bertus vond 12 schadelijke Python bibliotheken dat zou ook werken in een soortgelijke indeling door het openen van schelpen op de hosts gedownload en liep de bibliotheken.
Gerelateerde malware en cybercriminaliteit dekking:
Brazilië is in de voorhoede van een nieuw type router attackRecent Windows zero-day gebruikt door Buhtrap bende voor cyber-espionageHackers geschonden Griekenland is de top-level domein registrarNew Android-malware vervangt legitieme apps met ad-aangetaste doppelgangersPale Moon zegt hackers toegevoegd malware oudere browser versionsOpenNIC daalt de steun voor .beetje domeinnamen na hoogtij malware abuseMalware blijft hangen in het Mkb voor een gemiddelde van 800 dagen vóór de ontdekking TechRepublicRegering imposter oplichting gewoon op een all-time high, FTC, aldus CNET
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters