Преди няколко дни известието, че В директорията PyPI бяха идентифицирани 11 пакета, съдържащи злонамерен код (индекс на пакета на Python).
Преди да бъдат идентифицирани проблемите, пакетите са изтеглени общо около 38 хиляди пъти Трябва да се отбележи, че откритите злонамерени пакети се отличават с използването на сложни методи за скриване на комуникационни канали със сървърите на нападателите.
Откритите пакети са следните:
- важен пакет (6305 изтегляния) e важен пакет (12897): тези пакети установяване на връзка с външен сървър под прикритието на свързване към pypi.python.org за осигуряване на достъп до системата (обратна обвивка) и използвайте програмата trevorc2, за да скриете комуникационния канал.
- pptest (10001) и ipboards (946): използва DNS като комуникационен канал за предаване на информация за системата (в първия пакет името на хоста, работната директория, вътрешния и външния IP, във втория потребителското име и името на хоста).
- сова луна (3285), DiscordSafety (557) и yiffparty (1859) - Идентифицирайте токена на услугата Discord в системата и го изпратете на външен хост.
- trrfab (287): Изпраща идентификатора, името на хоста и съдържанието на / etc / passwd, / etc / hosts, / home на външен хост.
- 10cent10 (490) - Установена обратна връзка на обвивката към външен хост.
yandex-yt (4183): показва съобщение за компрометираната система и се пренасочва към страница с допълнителна информация за допълнителни действия, издадена чрез nda.ya.ru (api.ya.cc).
Предвид това се споменава, че специално внимание трябва да се обърне на метода за достъп до външни хостове, които се използват в пакети важен пакет и важен пакет, които използват мрежата за доставка на съдържание Fastly, използвана в каталога на PyPI, за да скрият дейността си.
Всъщност заявките бяха изпратени до сървъра pypi.python.org (включително посочване на името на python.org в SNI в HTTPS заявката), но името на сървъра, контролиран от нападателя, беше зададено в HTTP заглавката „Host ». Мрежата за доставка на съдържание изпрати подобна заявка до сървъра на нападателя, като използва параметрите на TLS връзката към pypi.python.org при предаване на данни.
Инфраструктурата на PyPI се захранва от мрежата за бързо доставяне на съдържание, която използва прозрачния прокси на Varnish за кеширане на типични заявки и използва обработка на TLS сертификати на ниво CDN, а не крайни сървъри, за препращане на HTTPS заявки през прокси сървъра. Независимо от хоста на местоназначението, заявките се изпращат до прокси сървъра, който идентифицира желания хост чрез HTTP заглавката "Host", а имената на хостове на домейни са свързани с IP адресите на CDN балансиране на натоварване, типични за всички клиенти на Fastly.
Сървърът на нападателите също се регистрира с CDN Fastly, който предоставя на всички безплатни тарифни планове и дори позволява анонимна регистрация. Особено използва се и схема за изпращане на заявки до жертвата при създаване на "обратна обвивка", но започна от домакина на нападателя. Отвън взаимодействието със сървъра на атакуващия изглежда като легитимна сесия с PyPI директорията, криптирана с PyPI TLS сертификат. Подобна техника, известна като „предоставяне на домейн“, преди беше използвана активно за скриване на името на хоста чрез заобикаляне на заключванията, като се използва опцията HTTPS, предоставена в някои CDN мрежи, посочване на фиктивния хост в SNI и предаване на името на хоста. в заглавката на HTTP хост в рамките на TLS сесия.
За скриване на злонамерената активност допълнително е използван пакетът TrevorC2, което прави взаимодействието със сървъра подобно на нормалното сърфиране в мрежата.
Пакетите pptest и ipboards използваха различен подход за скриване на мрежовата активност, базиран на кодиране на полезна информация в заявки към DNS сървъра. Злонамереният софтуер предава информация чрез изпълнение на DNS заявки, при които данните, предавани към сървъра за команди и контрол, се кодират с помощта на формата base64 в името на поддомейна. Нападателят приема тези съобщения, като контролира DNS сървъра на домейна.
И накрая, ако се интересувате да научите повече за това, можете да се консултирате с подробностите В следващия линк.