Fa pocs dies es va donar a conèixer la notificació que van ser identificats 11 paquets que contenien codi maliciós al directori PyPI (índex de paquets de Python).
Abans que s'identifiquessin els problemes, els paquets es van descarregar unes 38 mil vegades en total i cal destacar que els paquets maliciosos detectats es destaquen per lús de mètodes sofisticats per ocultar canals de comunicació amb els servidors dels atacants.
Els paquets que van ser descoberts són els següents:
- importantpackage (6305 descàrregues) i important-package (12897): aquests paquets estableixen una connexió amb un servidor extern amb el pretext de connectar-se a pypi.python.org per proporcionar accés de shell al sistema (shell invers) i utilitzen el programa trevorc2 per amagar el canal de comunicació.
- pptest (10001) i ipboards (946): van utilitzar DNS com a canal de comunicació per transferir informació sobre el sistema (al primer paquet, el nom de host, directori de treball, IP interna i externa, al segon, el nom d'usuari i el nom de host).
- owlmoon (3285), DiscordSafety (557) i yiffparty (1859): identifiquen el token de servei de Discord al sistema i l'envien a un host extern.
- trrfab (287): envia l'identificador, el nom de host i el contingut de /etc/passwd, /etc/hosts, /home a un host extern.
- 10Cent10 (490): va establir una connexió de shell inversa a un host extern.
yandex-yt (4183): va mostrar un missatge sobre el sistema compromès i redirigit a una pàgina amb informació addicional sobre accions addicionals, emès a través de nda.ya.ru (api.ya.cc).
Davant d'això, s'esmenta que cal prestar especial atenció al mètode d'accés als hosts externs que s'utilitzen als paquets importantpackage i important-package, que utilitzen la xarxa de lliurament de contingut Fastly utilitzada al catàleg de PyPI per ocultar la seva activitat.
De fet, les sol·licituds es van enviar al servidor pypi.python.org (inclosa l'especificació del nom de python.org a SNI dins de la sol·licitud HTTPS), però el nom del servidor controlat per l'atacant es va establir a la capçalera HTTP «Host ». La xarxa de lliurament de contingut va enviar una sol·licitud semblant al servidor de l'atacant, utilitzant els paràmetres de la connexió TLS amb pypi.python.org en transmetre dades.
La infraestructura de PyPI està impulsada per Fastly Content Delivery Network, que utilitza el proxy transparent de Varnish per emmagatzemar en memòria cau les sol·licituds típiques, i utilitza el processament de certificats TLS a nivell de CDN, en lloc de servidors de punt final, per reenviar les sol·licituds HTTPS a través del servidor intermediari. Independentment de l'amfitrió de destinació, les sol·licituds s'envien al servidor intermediari, que identifica l'amfitrió desitjat per la capçalera HTTP «Host», i els noms d'amfitrió de domini estan vinculats a les adreces IP de l'equilibrador de càrrega CDN típiques de tots els clients Fastly .
El servidor dels atacants també es registra amb CDN Fastly, que proporciona a tots plans de tarifes gratuïts i fins i tot permet el registre anònim. Cal destacar que també s'utilitza un esquema per enviar sol·licituds a la víctima quan es crea un “shell invers”, però iniciat pel host de l'atacant. Des de l'exterior, la interacció amb el servidor de l'atacant sembla una sessió legítima amb el directori PyPI, xifrat amb el certificat PyPI TLS. Una tècnica similar, coneguda com a «fronting de domini», es va utilitzar anteriorment de forma activa per ocultar el nom de host en ometre bloquejos, utilitzant l'opció HTTPS proporcionada en algunes xarxes CDN, especificant el host fictici a l'SNI i passant el nom del host sol·licitat a la capçalera del host HTTP dins d'una sessió TLS.
Per amagar l'activitat maliciosa, es va utilitzar addicionalment el paquet TrevorC2, cosa que fa que la interacció amb el servidor sigui similar a la navegació web normal.
Els paquets pptest i ipboards van utilitzar un enfocament diferent per amagar l'activitat de la xarxa, basat en la codificació d'informació útil a les sol·licituds al servidor DNS. El programari maliciós transmet informació mitjançant la realització de consultes DNS, en què les dades transmeses al servidor d'ordre i control es codifiquen utilitzant el format base64 en el nom del subdomini. Un atacant accepta aquests missatges controlant el servidor DNS del domini.
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.