Ilang araw ang nakalipas ng notification na Natukoy ang 11 pakete na naglalaman ng malisyosong code sa direktoryo ng PyPI (Python package index).
Bago matukoy ang mga problema, ang mga pakete ay na-download ng humigit-kumulang 38 libong beses sa kabuuan Dapat tandaan na ang mga malisyosong packet na nakita ay kapansin-pansin sa paggamit ng mga sopistikadong pamamaraan upang itago ang mga channel ng komunikasyon sa mga server ng mga umaatake.
Ang mga pakete na natuklasan ay ang mga sumusunod:
- mahalagang pakete (6305 download) e mahalagang-pakete (12897): ang mga paketeng ito magtatag ng koneksyon sa isang panlabas na server sa ilalim ng pagkukunwari ng pagkonekta sa pypi.python.org para magbigay ng shell access sa system (reverse shell) at gamitin ang trevorc2 program upang itago ang channel ng komunikasyon.
- pptest (10001) at ipboards (946): ginamit ang DNS bilang isang channel ng komunikasyon upang maglipat ng impormasyon tungkol sa system (sa unang packet, ang hostname, gumaganang direktoryo, panloob at panlabas na IP, sa pangalawa, ang username at ang hostname).
- owlmoon Na (3285), DiscordSafety (557) y yiffparty (1859) - Tukuyin ang token ng serbisyo ng Discord sa system at ipadala ito sa isang panlabas na host.
- trrfab (287): Ipinapadala ang identifier, hostname, at nilalaman ng / etc / passwd, / etc / hosts, / home sa isang external na host.
- 10 sentimo10 (490) - Nagtatag ng isang reverse shell na koneksyon sa isang panlabas na host.
yandex-yt (4183) - nagpakita ng mensahe tungkol sa nakompromisong sistema at na-redirect sa isang pahina na may karagdagang impormasyon tungkol sa mga karagdagang aksyon, na ibinigay sa pamamagitan ng nda.ya.ru (api.ya.cc).
Dahil dito, nabanggit na espesyal na pansin ang dapat bayaran sa paraan ng pag-access sa mga panlabas na host na ginagamit sa mga packet importantpackage at important-package, na gumagamit ng Fastly content delivery network na ginagamit sa catalog ng PyPI upang itago ang kanilang aktibidad.
Sa katunayan, ipinadala ang mga kahilingan sa server ng pypi.python.org (kabilang ang pagtukoy sa pangalan ng python.org sa SNI sa loob ng kahilingan sa HTTPS), ngunit ang pangalan ng server na kinokontrol ng umaatake ay itinakda sa header ng HTTP na "Host ». Nagpadala ang network ng paghahatid ng nilalaman ng katulad na kahilingan sa server ng umaatake, gamit ang mga parameter ng koneksyon ng TLS sa pypi.python.org kapag nagpapadala ng data.
Ang imprastraktura ng Ang PyPI ay pinapagana ng Fastly Content Delivery Network, na gumagamit ng transparent na proxy ng Varnish upang i-cache ang mga karaniwang kahilingan, at gumagamit ng pagpoproseso ng certificate ng TLS sa antas ng CDN, sa halip na mga endpoint server, upang ipasa ang mga kahilingan sa HTTPS sa pamamagitan ng proxy. Anuman ang destinasyong host, ang mga kahilingan ay ipinapadala sa proxy, na tumutukoy sa gustong host ng HTTP na "Host" na header, at ang mga domain host name ay nakatali sa CDN load balancer na mga IP address na karaniwan sa lahat ng mga kliyente ng Fastly .
Ang server ng mga umaatake ay nagrerehistro din sa CDN Mabilis, na nagbibigay sa lahat ng mga libreng rate plan at kahit na pinapayagan ang hindi kilalang pagpaparehistro. Kapansin-pansin ginagamit din ang isang scheme upang magpadala ng mga kahilingan sa biktima kapag lumilikha ng "reverse shell", ngunit sinimulan ng host ng umaatake. Mula sa labas, ang pakikipag-ugnayan sa server ng umaatake ay mukhang isang lehitimong session sa direktoryo ng PyPI, na naka-encrypt gamit ang PyPI TLS certificate. Ang isang katulad na pamamaraan, na kilala bilang 'domain fronting', ay dating aktibong ginamit upang itago ang hostname sa pamamagitan ng pag-bypass sa mga lock, gamit ang opsyong HTTPS na ibinigay sa ilang CDN network, na tumutukoy sa dummy host sa SNI at ipinapasa ang pangalan ng host. hiniling ng host. sa HTTP host header sa loob ng isang TLS session.
Upang itago ang malisyosong aktibidad, ginamit din ang TrevorC2 package, na ginagawang katulad ng normal na pagba-browse sa web ang pakikipag-ugnayan sa server.
Ang pptest at ipboards packets ay gumamit ng ibang diskarte upang itago ang aktibidad ng network, batay sa pag-encode ng kapaki-pakinabang na impormasyon sa mga kahilingan sa DNS server. Ang nakakahamak na software ay nagpapadala ng impormasyon sa pamamagitan ng pagsasagawa ng mga DNS query, kung saan ang data na ipinadala sa command at control server ay naka-encode gamit ang base64 na format sa pangalan ng subdomain. Tinatanggap ng isang umaatake ang mga mensaheng ito sa pamamagitan ng pagkontrol sa DNS server ng domain.
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.