Mereka menemui 11 pakej berniat jahat dalam PyPI

Darkcrizt

Minit 4

Beberapa hari lepas pemberitahuan itu 11 pakej yang mengandungi kod hasad dikenal pasti dalam direktori PyPI (Indeks pakej Python).

Sebelum masalah dikenalpasti, pakej telah dimuat turun kira-kira 38 ribu kali secara keseluruhan Perlu diingatkan bahawa paket berniat jahat yang dikesan adalah terkenal kerana penggunaan kaedah yang canggih untuk menyembunyikan saluran komunikasi dengan pelayan penyerang.

Pakej yang ditemui adalah seperti berikut:

  • pakej penting (6305 muat turun) e pakej penting (12897): pakej-pakej ini mewujudkan sambungan ke pelayan luaran dengan berselindung untuk menyambung ke pypi.python.org untuk menyediakan akses shell kepada sistem (cangkang terbalik) dan gunakan program trevorc2 untuk menyembunyikan saluran komunikasi.
  • pptest (10001) dan ipboards (946): menggunakan DNS sebagai saluran komunikasi untuk memindahkan maklumat mengenai sistem (dalam paket pertama, nama hos, direktori kerja, IP dalaman dan luaran, dalam paket kedua, nama pengguna dan nama hos).
  • bulan hantu (3285), DiscordSafety (557) y yiffparty (1859) - Kenal pasti token perkhidmatan Discord pada sistem dan hantarkannya kepada hos luaran.
  • trrfab (287): Menghantar pengecam, nama hos dan kandungan / etc / passwd, / etc / hos, / rumah kepada hos luaran.
  • 10sen10 (490) - Mewujudkan sambungan cangkerang terbalik kepada hos luaran.
    yandex-yt (4183): menunjukkan mesej tentang sistem yang terjejas dan diubah hala ke halaman dengan maklumat tambahan tentang tindakan tambahan, yang dikeluarkan melalui nda.ya.ru (api.ya.cc).

Memandangkan ini, disebutkan bahawa perhatian khusus harus diberikan kepada kaedah mengakses hos luaran yang digunakan dalam paket importantpackage dan important-package, yang menggunakan rangkaian penghantaran kandungan Fastly yang digunakan dalam katalog PyPI untuk menyembunyikan aktiviti mereka.

Sebenarnya, permintaan telah dihantar ke pelayan pypi.python.org (termasuk menyatakan nama python.org dalam SNI dalam permintaan HTTPS), tetapi nama pelayan yang dikawal oleh penyerang telah ditetapkan dalam pengepala HTTP "Host ». Rangkaian penghantaran kandungan menghantar permintaan yang serupa kepada pelayan penyerang, menggunakan parameter sambungan TLS ke pypi.python.org semasa menghantar data.

Infrastruktur daripada PyPI dikuasakan oleh Rangkaian Penghantaran Kandungan Cepat, yang menggunakan proksi telus Varnish untuk cache permintaan biasa, dan menggunakan pemprosesan sijil TLS peringkat CDN, bukannya pelayan titik akhir, untuk memajukan permintaan HTTPS melalui proksi. Tidak kira hos destinasi, permintaan dihantar kepada proksi, yang mengenal pasti hos yang dikehendaki oleh pengepala "Hos" HTTP dan nama hos domain dipautkan ke alamat IP pengimbang beban CDN yang biasa bagi semua pelanggan Fastly .

Pelayan penyerang juga mendaftar dengan CDN Fastly, yang menyediakan semua orang dengan pelan kadar percuma dan juga membenarkan pendaftaran tanpa nama. Terutamanya skim juga digunakan untuk menghantar permintaan kepada mangsa apabila mencipta "cangkang terbalik", tetapi dimulakan oleh hos penyerang. Dari luar, interaksi dengan pelayan penyerang kelihatan seperti sesi yang sah dengan direktori PyPI, disulitkan dengan sijil TLS PyPI. Teknik serupa, dikenali sebagai "penghadapan domain", sebelum ini digunakan secara aktif untuk menyembunyikan nama hos dengan memintas kunci, menggunakan pilihan HTTPS yang disediakan pada beberapa rangkaian CDN, menyatakan hos tiruan dalam SNI dan menghantar nama hos. hos diminta dalam pengepala hos HTTP dalam sesi TLS.

Untuk menyembunyikan aktiviti berniat jahat, pakej TrevorC2 juga digunakan, yang menjadikan interaksi dengan pelayan serupa dengan penyemakan imbas web biasa.

Paket pptest dan ipboards menggunakan pendekatan berbeza untuk menyembunyikan aktiviti rangkaian, berdasarkan pengekodan maklumat berguna dalam permintaan kepada pelayan DNS. Perisian hasad menghantar maklumat dengan melakukan pertanyaan DNS, di mana data yang dihantar ke pelayan arahan dan kawalan dikodkan menggunakan format base64 dalam nama subdomain. Penyerang menerima mesej ini dengan mengawal pelayan DNS domain.

Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh melihat butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.