Prije nekoliko dana obavijest da U PyPI imeniku je identificirano 11 paketa koji sadrže zlonamjerni kod (Python indeks paketa).
Prije nego što su problemi identificirani, paketi su preuzeti ukupno oko 38 tisuća puta Treba napomenuti da su otkriveni zlonamjerni paketi poznati po korištenju sofisticiranih metoda za skrivanje komunikacijskih kanala s poslužiteljima napadača.
Paketi koji su otkriveni su sljedeći:
- važan paket (6305 preuzimanja) e važan-paket (12897): ovi paketi uspostaviti vezu s vanjskim poslužiteljem pod krinkom povezivanja na pypi.python.org kako bi se omogućio pristup ljuske sustavu (obrnuta ljuska) i upotrijebite program trevorc2 da sakrijete komunikacijski kanal.
- pptest (10001) i ipboards (946): koristio DNS kao komunikacijski kanal za prijenos informacija o sustavu (u prvom paketu ime hosta, radni direktorij, interni i vanjski IP, u drugom korisničko ime i ime hosta).
- sovina mjesec (3285), DiscordSafety (557) y yiffparty (1859) - Identificirajte token usluge Discord na sustavu i pošaljite ga vanjskom hostu.
- trrfab (287): Šalje identifikator, ime hosta i sadržaj / etc / passwd, / etc / hosts, / home vanjskom hostu.
- 10cent10 (490) - Uspostavljena obrnuta veza ljuske s vanjskim hostom.
yandex-yt (4183): prikazao je poruku o kompromitiranom sustavu i preusmjerio na stranicu s dodatnim informacijama o dodatnim radnjama, izdanim putem nda.ya.ru (api.ya.cc).
S obzirom na to, spominje se da posebnu pozornost treba obratiti na način pristupa vanjskim hostovima koji se koriste u paketima importantpackage i important-package, koji koriste mrežu za isporuku sadržaja Fastly korištenu u PyPI katalogu za skrivanje svoje aktivnosti.
Zapravo, zahtjevi su poslani na poslužitelj pypi.python.org (uključujući navođenje imena python.org u SNI unutar HTTPS zahtjeva), ali je naziv poslužitelja koji kontrolira napadač postavljen u HTTP zaglavlje "Host ». Mreža za isporuku sadržaja poslala je sličan zahtjev poslužitelju napadača, koristeći parametre TLS veze na pypi.python.org prilikom prijenosa podataka.
Infrastrukturu PyPI pokreće mreža Fastly Content Delivery Network, koja koristi Varnishov transparentni proxy za predmemoriju tipičnih zahtjeva i koristi obradu TLS certifikata na razini CDN-a, umjesto krajnjih poslužitelja, za prosljeđivanje HTTPS zahtjeva putem proxyja. Neovisno o odredišnom hostu, zahtjevi se šalju proxyju, koji identificira željeni host pomoću HTTP zaglavlja "Host", a nazivi hosta domena povezani su s IP adresama CDN balansera opterećenja tipičnim za sve klijente Fastly.
Poslužitelj napadača također se registrira na CDN Fastly, koji svima pruža besplatne tarifne planove i čak omogućuje anonimnu registraciju. Posebno shema se također koristi za slanje zahtjeva žrtvi prilikom stvaranja "obrnute ljuske", ali je započeo napadačev domaćin. Izvana, interakcija s poslužiteljem napadača izgleda kao legitimna sesija s PyPI direktorijem, šifriranim PyPI TLS certifikatom. Slična tehnika, poznata kao "predmena domene", ranije se aktivno koristila za skrivanje imena hosta zaobilaženjem zaključavanja, korištenjem opcije HTTPS koja se pruža na nekim CDN mrežama, navodeći lažni host u SNI-u i prosljeđivanje imena hosta. host zatražen u zaglavlju HTTP hosta unutar TLS sesije.
Za skrivanje zlonamjerne aktivnosti dodatno je korišten paket TrevorC2, koji čini interakciju s poslužiteljem sličnom normalnom pregledavanju weba.
Paketi pptest i ipboards koristili su drugačiji pristup za skrivanje mrežne aktivnosti, na temelju kodiranja korisnih informacija u zahtjevima prema DNS poslužitelju. Zlonamjerni softver prenosi informacije izvodeći DNS upite, u kojima se podaci koji se prenose na poslužitelj za naredbe i upravljanje kodiraju korištenjem base64 formata u nazivu poddomene. Napadač prihvaća ove poruke kontrolirajući DNS poslužitelj domene.
Napokon, ako vas zanima više o tome, možete potražiti detalje U sljedećem linku.