काही दिवसांपूर्वी अधिसूचना आली की PyPI निर्देशिकेत दुर्भावनायुक्त कोड असलेली 11 पॅकेजेस ओळखली गेली (पायथन पॅकेज इंडेक्स).
समस्या ओळखण्यापूर्वी, पॅकेजेस एकूण 38 हजार वेळा डाउनलोड केले गेले हे लक्षात घ्यावे की सापडलेली दुर्भावनापूर्ण पॅकेट आक्रमणकर्त्यांच्या सर्व्हरसह संप्रेषण चॅनेल लपवण्यासाठी अत्याधुनिक पद्धती वापरण्यासाठी लक्षणीय आहेत.
सापडलेली पॅकेजेस खालीलप्रमाणे आहेत:
- महत्वाचे पॅकेज (6305 डाउनलोड) ई महत्वाचे-पॅकेज (१२८९७): ही पॅकेजेस बाह्य सर्व्हरशी कनेक्शन स्थापित करा pypi.python.org शी कनेक्ट करण्याच्या नावाखाली प्रणालीमध्ये शेल प्रवेश प्रदान करण्यासाठी (रिव्हर्स शेल) आणि कम्युनिकेशन चॅनेल लपवण्यासाठी trevorc2 प्रोग्राम वापरा.
- pptest (10001) ई ipboards (946): माहिती हस्तांतरित करण्यासाठी संप्रेषण चॅनेल म्हणून DNS वापरले सिस्टमबद्दल (पहिल्या पॅकेटमध्ये, होस्टनाव, कार्यरत निर्देशिका, अंतर्गत आणि बाह्य IP, दुसऱ्यामध्ये, वापरकर्तानाव आणि होस्टनाव).
- उल्लूमून (3285), डिस्कॉर्डसेफ्टी (557) आणि yiffparty (1859) - सिस्टमवरील डिस्कॉर्ड सेवा टोकन ओळखा आणि ते बाह्य होस्टला पाठवा.
- trrfab (287): आयडेंटिफायर, होस्टनाव आणि / etc / passwd, / etc / hosts, / घराची सामग्री बाह्य होस्टला पाठवते.
- 10cent10 (490) - बाह्य होस्टशी रिव्हर्स शेल कनेक्शन स्थापित केले.
yandex-yt (4183): तडजोड केलेल्या सिस्टमबद्दल संदेश दर्शविला आणि nda.ya.ru (api.ya.cc) द्वारे जारी केलेल्या अतिरिक्त क्रियांबद्दल अतिरिक्त माहितीसह पृष्ठावर पुनर्निर्देशित केले.
हे पाहता, असे नमूद केले आहे पॅकेट्समध्ये वापरल्या जाणार्या बाह्य होस्टमध्ये प्रवेश करण्याच्या पद्धतीकडे विशेष लक्ष दिले पाहिजे महत्वाचे पॅकेज आणि महत्वाचे-पॅकेज, जे त्यांचे क्रियाकलाप लपवण्यासाठी PyPI कॅटलॉगमध्ये वापरलेले फास्टली सामग्री वितरण नेटवर्क वापरतात.
खरं तर, विनंत्या pypi.python.org सर्व्हरला पाठवल्या गेल्या होत्या (HTTPS विनंतीमध्ये SNI मध्ये python.org चे नाव नमूद करण्यासह), परंतु आक्रमणकर्त्याद्वारे नियंत्रित सर्व्हरचे नाव HTTP शीर्षलेख "होस्ट" मध्ये सेट केले गेले होते. ». सामग्री वितरण नेटवर्कने डेटा प्रसारित करताना pypi.python.org वर TLS कनेक्शनचे मापदंड वापरून आक्रमणकर्त्याच्या सर्व्हरला समान विनंती पाठवली.
च्या पायाभूत सुविधा PyPI फास्टली कंटेंट डिलिव्हरी नेटवर्कद्वारे समर्थित आहे, जे वार्निशचे पारदर्शक प्रॉक्सी वापरते ठराविक विनंत्या कॅशे करण्यासाठी, आणि प्रॉक्सीद्वारे HTTPS विनंत्या फॉरवर्ड करण्यासाठी एंडपॉइंट सर्व्हरऐवजी CDN-स्तरीय TLS प्रमाणपत्र प्रक्रिया वापरते. गंतव्य होस्ट काहीही असो, विनंत्या प्रॉक्सीला पाठवल्या जातात, जे HTTP "होस्ट" शीर्षलेखाद्वारे इच्छित होस्ट ओळखते आणि डोमेन होस्ट नावे सर्व फास्टली क्लायंटच्या वैशिष्ट्यपूर्ण CDN लोड बॅलन्सर IP पत्त्यांशी जोडलेली असतात.
हल्लेखोरांचा सर्व्हर देखील CDN सह जलद नोंदणी करतो, जे प्रत्येकाला विनामूल्य दर योजना प्रदान करते आणि निनावी नोंदणीची परवानगी देखील देते. विशेष म्हणजे "रिव्हर्स शेल" तयार करताना पीडिताला विनंत्या पाठवण्यासाठी एक योजना देखील वापरली जाते. पण हल्लेखोराच्या यजमानाने सुरुवात केली. बाहेरून, आक्रमणकर्त्याच्या सर्व्हरशी परस्परसंवाद PyPI निर्देशिकेसह, PyPI TLS प्रमाणपत्रासह कूटबद्ध केलेल्या कायदेशीर सत्रासारखे दिसते. तत्सम तंत्र, "डोमेन फ्रंटिंग" म्हणून ओळखले जाते, पूर्वी लॉक बायपास करून होस्टनाव लपविण्यासाठी सक्रियपणे वापरले गेले होते, काही CDN नेटवर्कवर प्रदान केलेला HTTPS पर्याय वापरून, SNI मध्ये डमी होस्ट निर्दिष्ट करून आणि होस्टचे नाव पास करून होस्टने विनंती केली होती. TLS सत्रामध्ये HTTP होस्ट शीर्षलेखात.
दुर्भावनापूर्ण क्रियाकलाप लपविण्यासाठी, TrevorC2 पॅकेज अतिरिक्तपणे वापरले गेले, जे सामान्य वेब ब्राउझिंग प्रमाणेच सर्व्हरशी परस्परसंवाद करते.
Pptest आणि ipboards पॅकेट्स DNS सर्व्हरला केलेल्या विनंत्यांमध्ये उपयुक्त माहिती एन्कोड करण्यावर आधारित, नेटवर्क क्रियाकलाप लपवण्यासाठी भिन्न दृष्टीकोन वापरतात. दुर्भावनापूर्ण सॉफ्टवेअर DNS क्वेरी करून माहिती प्रसारित करते, ज्यामध्ये कमांड आणि कंट्रोल सर्व्हरवर पाठवलेला डेटा सबडोमेन नावातील बेस64 फॉरमॅट वापरून एन्कोड केला जातो. आक्रमणकर्ता डोमेनचा DNS सर्व्हर नियंत्रित करून हे संदेश स्वीकारतो.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यास स्वारस्य असल्यास आपण तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर