Пре неколико дана обавештење да У ПиПИ директоријуму је идентификовано 11 пакета који садрже злонамерни код (Питхон индекс пакета).
Пре него што су проблеми идентификовани, пакети су укупно преузети око 38 хиљада пута Треба напоменути да су откривени злонамерни пакети препознатљиви по употреби софистицираних метода за сакривање комуникационих канала са серверима нападача.
Пакети који су откривени су следећи:
- важан пакет (6305 преузимања) е важан-пакет (12897): ови пакети успоставите везу са спољним сервером под маском повезивања на пипи.питхон.орг да обезбеди приступ љусци систему (обрнута шкољка) и користите програм треворц2 да сакријете комуникациони канал.
- пптест (КСНУМКС) и ипбоардс (КСНУМКС): користио ДНС као комуникациони канал за пренос информација о систему (у првом пакету име хоста, радни директоријум, интерна и екстерна ИП адреса, у другом корисничко име и име хоста).
- овлмоон (КСНУМКС), ДисцордСафети (КСНУМКС) и ииффпарти (1859) - Идентификујте Дисцорд сервисни токен на систему и пошаљите га спољном хосту.
- тррфаб (287): Шаље идентификатор, име хоста и садржај / етц / пассвд, / етц / хостс, / кући спољном хосту.
- 10цент10 (490) - Успостављена обрнута веза љуске са спољним хостом.
иандек-ит (4183): приказао је поруку о компромитованом систему и преусмерио на страницу са додатним информацијама о додатним радњама, издатим преко нда.иа.ру (апи.иа.цц).
С обзиром на ово, помиње се да посебну пажњу треба обратити на начин приступа спољним хостовима који се користе у пакетима импортантпацкаге и импортант-пацкаге, који користе Фастли мрежу за испоруку садржаја која се користи у ПиПИ каталогу да сакрију своју активност.
У ствари, захтеви су послати серверу пипи.питхон.орг (укључујући навођење имена питхон.орг у СНИ у оквиру ХТТПС захтева), али је име сервера који контролише нападач постављено у ХТТП заглављу „Хост ». Мрежа за испоруку садржаја послала је сличан захтев серверу нападача, користећи параметре ТЛС везе на пипи.питхон.орг приликом преноса података.
Инфраструктура оф ПиПИ покреће мрежа за брзу испоруку садржаја, која користи Варнисх-ов транспарентни прокси за кеширање типичних захтева и користи обраду ТЛС сертификата на нивоу ЦДН-а, уместо сервера крајњих тачака, за прослеђивање ХТТПС захтева преко проксија. Без обзира на одредишни хост, захтеви се шаљу проксију, који идентификује жељени хост помоћу ХТТП заглавља „Хост“, а имена хостова домена су повезана са ИП адресама ЦДН балансера оптерећења типичним за све Фастли клијенте.
Сервер нападача се такође региструје на ЦДН Фастли, који свима пружа бесплатне тарифне планове и чак омогућава анонимну регистрацију. Посебно шема се такође користи за слање захтева жртви приликом креирања „обрнуте љуске“, али је започео нападачев домаћин. Споља, интеракција са сервером нападача изгледа као легитимна сесија са ПиПИ директоријумом, шифрованом ПиПИ ТЛС сертификатом. Слична техника, позната као „предмећење домена“, раније је активно коришћена за сакривање имена хоста заобилажењем закључавања, користећи ХТТПС опцију обезбеђену на неким ЦДН мрежама, наводећи лажни хост у СНИ и прослеђујући име хоста. хост захтева у заглављу ХТТП хоста у оквиру ТЛС сесије.
Да би се сакрила злонамерна активност, додатно је коришћен пакет ТреворЦ2, који чини интеракцију са сервером сличном нормалном претраживању веба.
Пакети пптест и ипбоардс користили су другачији приступ за скривање мрежне активности, заснован на кодирању корисних информација у захтевима ка ДНС серверу. Злонамерни софтвер преноси информације извршавањем ДНС упита, у којима се подаци који се преносе на командни и контролни сервер кодирају коришћењем басе64 формата у имену поддомена. Нападач прихвата ове поруке тако што контролише ДНС сервер домена.
На крају, ако сте заинтересовани да сазнате више о томе, можете се обратити детаљима У следећем линку.