Three paket berbahaya yang dihosting di repositori kode Python Package Index (PyPI) telah ditemukan, yang secara kolektif memiliki lebih dari 12.000 unduhan – dan mungkin merayap ke dalam instalasi di berbagai aplikasi.
Peneliti independen Andrew Scott menemukan paket tersebut selama analisis kode yang hampir di seluruh situs terdapat dalam PyPI, yang merupakan repositori kode perangkat lunak yang dibuat dalam bahasa pemrograman Python. Seperti GitHub, npm dan RubyGems, PyPI memungkinkan pembuat kode mengunggah paket perangkat lunak untuk digunakan oleh pengembang dalam membangun berbagai aplikasi, layanan, dan proyek lainnya. dan lebih banyak lagi, dan membuat remediasi menjadi proses yang rumit.
Dalam kasus ini, Scott menemukan paket berbahaya yang berisi malware trojan yang dikenal dan dua pencuri info.
Paket yang di-trojan disebut “aws-login0tool”, dan setelah paket diinstal, paket tersebut akan diambil payload executable yang ternyata merupakan trojan yang dikenal, katanya.
“Saya menemukan paket ini karena ditandai dalam beberapa pencarian teks. Saya melihat setup.py, karena itu adalah salah satu lokasi paling umum untuk kode berbahaya di Python paket karena kode arbitrer dapat dieksekusi di sana pada waktu penginstalan, ”jelas Scott dalam posting hari Minggu. “Secara khusus saya menemukan ini dengan mencari import urllib.request karena ini biasanya digunakan untuk mengekstrak data atau mengunduh file berbahaya dan juga dipicu oleh dari subproses import Popen yang agak mencurigakan karena sebagian besar paket tidak perlu mengeksekusi baris perintah sewenang-wenang code.”
Scott juga mengidentifikasi dua paket berbahaya lainnya dengan melihat string import urllib.request, keduanya dibuat untuk exfiltrasi data.
Bernama “dpp-client” dan “dpp-client1234I,” keduanya diunggah oleh pengguna yang sama di bulan Februari. Selama instalasi, mereka mengumpulkan detail tentang lingkungan dan daftar file, dan tampaknya “mencari secara khusus file yang terkait dengan Apache Mesos,” kata Scott, yang merupakan proyek sumber terbuka untuk mengelola cluster komputer. Setelah informasi dikumpulkan, itu dikirim ke layanan web yang tidak dikenal, menurut peneliti.
Tim keamanan Python menghapus paket yang diidentifikasi setelah diberitahu pada 10 Desember, tetapi ketiga paket tetap hidup berkat proyek yang mengimpornya sebelum removal.
Scott mengatakan bahwa paket trojan pertama kali ditambahkan ke PyPI pada 1 Desember. Kemudian diunduh hampir 600 kali. Adapun pencuri data, paket dpp-client telah diunduh lebih dari 10.000 kali, termasuk 600+ unduhan dalam sebulan terakhir; dpp-client1234 telah diunduh sekitar 1.500 kali. dan kedua paket meniru perpustakaan populer yang ada dengan URL kode sumbernya, “jadi siapa pun yang menjelajahi paket di PyPI atau menganalisis seberapa populer perpustakaan itu akan melihat sejumlah besar bintang dan garpu GitHub – menunjukkan reputasi yang baik.”
Perangkat lunak- rantai pasokan telah menjadi metode penyebaran malware yang semakin populer. Minggu lalu, misalnya, serangkaian paket berbahaya di repositori kode manajer paket (npm) Node.js yang tampaknya memanen token Discord ditemukan. Paket dapat digunakan untuk mengambil alih akun dan server pengguna yang tidak curiga.
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini: