Ils ont découvert 11 packages malveillants dans PyPI

Il y a quelques jours, la notification que 11 packages contenant du code malveillant ont été identifiés dans le répertoire PyPI (Index du paquet Python).

Avant que les problèmes ne soient identifiés, les packages ont été téléchargés environ 38 XNUMX fois au total Il est à noter que les paquets malveillants détectés se distinguent par l'utilisation de méthodes sophistiquées pour masquer les canaux de communication avec les serveurs des attaquants.

Les packages découverts sont les suivants :

  • paquet important (6305 téléchargements) e paquet-important (12897) : ces paquets établir une connexion à un serveur externe sous prétexte de se connecter à pypi.python.org pour fournir un accès shell au système (reverse shell) et utilisez le programme trevorc2 pour masquer le canal de communication.
  • test pp (10001) et tableaux (946): utilisé DNS comme canal de communication pour transférer des informations sur le système (dans le premier paquet, le nom d'hôte, le répertoire de travail, l'IP interne et externe, dans le second, le nom d'utilisateur et le nom d'hôte).
  • chouette lune (3285), DiscordSécurité (557) y fête yiff (1859) - Identifiez le jeton de service Discord sur le système et envoyez-le à un hôte externe.
  • trrfab (287) : Envoie l'identifiant, le nom d'hôte et le contenu de /etc/passwd, /etc/hosts, /home à un hôte externe.
  • 10cent10 (490) - Etablissement d'une connexion shell inversée à un hôte externe.
    yandex-yt (4183) : affiche un message sur le système compromis et redirigé vers une page contenant des informations supplémentaires sur des actions supplémentaires, émises via nda.ya.ru (api.ya.cc).

Compte tenu de cela, il est mentionné que une attention particulière doit être accordée à la méthode d'accès aux hôtes externes qui sont utilisés dans les paquets importantpackage et important-package, qui utilisent le réseau de diffusion de contenu Fastly utilisé dans le catalogue PyPI pour masquer leur activité.

En effet, les requêtes ont été envoyées au serveur pypi.python.org (notamment en spécifiant le nom de python.org en SNI au sein de la requête HTTPS), mais le nom du serveur contrôlé par l'attaquant a été défini dans l'entête HTTP "Host ». Le réseau de diffusion de contenu a envoyé une requête similaire au serveur de l'attaquant, en utilisant les paramètres de la connexion TLS à pypi.python.org lors de la transmission de données.

L'infrastructure de PyPI est alimenté par le réseau de diffusion de contenu Fastly, qui utilise le proxy transparent de Varnish pour mettre en cache les demandes typiques et utilise le traitement des certificats TLS au niveau CDN, plutôt que les serveurs de point de terminaison, pour transférer les demandes HTTPS via le proxy. Quel que soit l'hôte de destination, les demandes sont envoyées au proxy, qui identifie l'hôte souhaité par l'en-tête HTTP "Host", et les noms d'hôte de domaine sont liés aux adresses IP de l'équilibreur de charge CDN typiques de tous les clients Fastly.

Le serveur des attaquants s'enregistre également auprès de CDN Fastly, qui offre à tout le monde des plans tarifaires gratuits et permet même une inscription anonyme. Notamment un schéma est également utilisé pour envoyer des requêtes à la victime lors de la création d'un "reverse shell", mais démarré par l'hôte de l'attaquant. De l'extérieur, l'interaction avec le serveur de l'attaquant ressemble à une session légitime avec le répertoire PyPI, chiffré avec le certificat PyPI TLS. Une technique similaire, connue sous le nom de "domain fronting", était auparavant activement utilisée pour masquer le nom d'hôte en contournant les verrous, en utilisant l'option HTTPS fournie sur certains réseaux CDN, en spécifiant l'hôte factice dans le SNI et en passant le nom de l'hôte. dans l'en-tête de l'hôte HTTP au sein d'une session TLS.

Pour masquer l'activité malveillante, le package TrevorC2 a également été utilisé, ce qui rend l'interaction avec le serveur similaire à la navigation Web normale.

Les paquets pptest et ipboards utilisaient une approche différente pour masquer l'activité du réseau, basée sur le codage d'informations utiles dans les requêtes adressées au serveur DNS. Les logiciels malveillants transmettent des informations en effectuant des requêtes DNS, dans lesquelles les données transmises au serveur de commande et de contrôle sont codées au format base64 dans le nom de sous-domaine. Un attaquant accepte ces messages en contrôlant le serveur DNS du domaine.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.