Pred nekaj dnevi obvestilo, da V imeniku PyPI je bilo ugotovljenih 11 paketov, ki vsebujejo zlonamerno kodo (Indeks paketa Python).
Preden so bile ugotovljene težave, paketi so bili skupaj preneseni približno 38 tisoč krat Opozoriti je treba, da so zaznani zlonamerni paketi značilni po uporabi sofisticiranih metod za skrivanje komunikacijskih kanalov s strežniki napadalcev.
Paketi, ki so bili odkriti, so naslednji:
- pomemben paket (6305 prenosov) e pomemben paket (12897): ti paketi vzpostavite povezavo z zunanjim strežnikom pod krinko povezave s pypi.python.org za zagotovitev dostopa lupine do sistema (obrnjena lupina) in s programom trevorc2 skrijete komunikacijski kanal.
- pptest (10001) in ipboards (946): uporablja DNS kot komunikacijski kanal za prenos informacij o sistemu (v prvem paketu ime gostitelja, delovni imenik, notranji in zunanji IP, v drugem uporabniško ime in ime gostitelja).
- owlmoon (3285) DiscordSafety (557) y yiffparty (1859) – Identificirajte žeton storitve Discord v sistemu in ga pošljite zunanjemu gostitelju.
- trrfab (287): Pošlje identifikator, ime gostitelja in vsebino / etc / passwd, / etc / hosts, / home zunanjemu gostitelju.
- 10cent10 (490) - Vzpostavljena povratna povezava lupine z zunanjim gostiteljem.
yandex-yt (4183): pokazal sporočilo o ogroženem sistemu in preusmerjen na stran z dodatnimi informacijami o dodatnih dejanjih, izdanimi prek nda.ya.ru (api.ya.cc).
Glede na to je omenjeno, da posebno pozornost je treba nameniti načinu dostopa do zunanjih gostiteljev, ki se uporabljajo v paketih importantpackage in important-package, ki uporabljata omrežje za dostavo vsebin Fastly, uporabljeno v katalogu PyPI, da skrijeta svojo dejavnost.
Pravzaprav so bile zahteve poslane strežniku pypi.python.org (vključno z navedbo imena python.org v SNI v zahtevi HTTPS), vendar je bilo ime strežnika, ki ga nadzoruje napadalec, nastavljeno v glavi HTTP »Host ». Omrežje za dostavo vsebine je poslalo podobno zahtevo na napadalčev strežnik, pri čemer je pri prenosu podatkov uporabilo parametre povezave TLS na pypi.python.org.
Infrastruktura Ljubljane PyPI poganja omrežje Fastly Content Delivery Network, ki uporablja Varnish's transparent proxy za predpomnjenje tipičnih zahtev in uporablja obdelavo potrdil TLS na ravni CDN namesto strežnikov končnih točk za posredovanje zahtev HTTPS prek proxyja. Ne glede na ciljnega gostitelja se zahteve pošljejo proxyju, ki identificira želenega gostitelja z glavo HTTP "Host", imena gostiteljev domen pa so povezana z IP-naslovi CDN uravnoteženja obremenitve, značilnimi za vse odjemalce Fastly.
Strežnik napadalcev se registrira tudi pri CDN Fastly, ki vsem omogoča brezplačne tarifne načrte in omogoča celo anonimno registracijo. Predvsem shema se uporablja tudi za pošiljanje zahtev žrtvi pri ustvarjanju "obrnjene lupine", ampak začel napadalčev gostitelj. Od zunaj je interakcija s strežnikom napadalca videti kot legitimna seja z imenikom PyPI, šifriranim s potrdilom PyPI TLS. Podobna tehnika, znana kot "predmena domena", je bila prej aktivno uporabljena za skrivanje imena gostitelja z obhodom ključavnic, z uporabo možnosti HTTPS, ki je na voljo v nekaterih omrežjih CDN, z določitvijo navideznega gostitelja v SNI in posredovanjem imena gostitelja. v glavi gostitelja HTTP znotraj seje TLS.
Za skrivanje zlonamerne dejavnosti je bil dodatno uporabljen paket TrevorC2, zaradi česar je interakcija s strežnikom podobna običajnemu brskanju po spletu.
Paketi pptest in ipboards so uporabljali drugačen pristop za skrivanje omrežne aktivnosti, ki temelji na kodiranju koristnih informacij v zahtevah do strežnika DNS. Zlonamerna programska oprema prenaša informacije z izvajanjem poizvedb DNS, pri katerih so podatki, poslani na ukazni in nadzorni strežnik, kodirani v obliki base64 v imenu poddomene. Napadalec sprejme ta sporočila z nadzorom strežnika DNS domene.
Nazadnje, če vas zanima več o tem, se lahko obrnete na podrobnosti V naslednji povezavi.