Một vài ngày trước, thông báo rằng 11 gói chứa mã độc được xác định trong thư mục PyPI (Chỉ mục gói Python).
Trước khi các vấn đề được xác định, các gói đã được tải xuống tổng cộng khoảng 38 nghìn lần Cần lưu ý rằng các gói tin độc hại được phát hiện đáng chú ý là việc sử dụng các phương pháp tinh vi để che giấu các kênh liên lạc với máy chủ của kẻ tấn công.
Các gói đã được phát hiện như sau:
- gói quan trọng (6305 lượt tải xuống) e gói quan trọng (12897): những gói này thiết lập kết nối với máy chủ bên ngoài dưới chiêu bài kết nối với pypi.python.org để cung cấp quyền truy cập shell vào hệ thống (ngược lại shell) và sử dụng chương trình trevorc2 để ẩn kênh liên lạc.
- pptt (10001) và bảng ip (946): đã sử dụng DNS làm kênh liên lạc để chuyển thông tin về hệ thống (trong gói đầu tiên, tên máy chủ, thư mục làm việc, IP bên trong và bên ngoài, trong gói thứ hai, tên người dùng và tên máy chủ).
- con cú (3285) DiscordAn toàn (557) y tiệc tùng (1859) - Xác định mã thông báo dịch vụ Discord trên hệ thống và gửi nó đến máy chủ bên ngoài.
- trfab (287): Gửi mã định danh, tên máy chủ và nội dung của / etc / passwd, / etc / hosts, / home tới máy chủ bên ngoài.
- 10cent10 (490) - Thiết lập một kết nối trình bao ngược với một máy chủ bên ngoài.
yandex-yt (4183): hiển thị thông báo về hệ thống bị xâm phạm và được chuyển hướng đến trang có thông tin bổ sung về các hành động bổ sung, được cấp qua nda.ya.ru (api.ya.cc).
Với điều này, nó được đề cập rằng cần đặc biệt chú ý đến phương pháp truy cập các máy chủ bên ngoài được sử dụng trong các gói gói quan trọng và gói quan trọng, sử dụng mạng phân phối nội dung Nhanh chóng được sử dụng trong danh mục PyPI để ẩn hoạt động của chúng.
Trên thực tế, các yêu cầu đã được gửi đến máy chủ pypi.python.org (bao gồm việc chỉ định tên của python.org trong SNI trong yêu cầu HTTPS), nhưng tên của máy chủ do kẻ tấn công kiểm soát đã được đặt trong tiêu đề HTTP "Máy chủ ». Mạng phân phối nội dung đã gửi một yêu cầu tương tự đến máy chủ của kẻ tấn công, sử dụng các tham số của kết nối TLS tới pypi.python.org khi truyền dữ liệu.
Cơ sở hạ tầng của PyPI được cung cấp bởi Mạng phân phối nội dung nhanh chóng, sử dụng proxy minh bạch của Varnish để lưu vào bộ đệm các yêu cầu điển hình và sử dụng xử lý chứng chỉ TLS cấp CDN, thay vì máy chủ điểm cuối, để chuyển tiếp các yêu cầu HTTPS thông qua proxy. Bất kể máy chủ đích là gì, các yêu cầu sẽ được gửi đến proxy, máy chủ này xác định máy chủ lưu trữ mong muốn bằng tiêu đề HTTP "Máy chủ lưu trữ" và tên máy chủ miền được liên kết với địa chỉ IP của trình cân bằng tải CDN điển hình của tất cả các máy khách Fastly.
Máy chủ của những kẻ tấn công cũng đăng ký với CDN Nhanh chóng, cung cấp cho mọi người các gói tỷ lệ miễn phí và thậm chí cho phép đăng ký ẩn danh. Đáng chú ý một lược đồ cũng được sử dụng để gửi yêu cầu đến nạn nhân khi tạo một "trình bao ngược", nhưng bắt đầu bởi máy chủ của kẻ tấn công. Nhìn từ bên ngoài, tương tác với máy chủ của kẻ tấn công trông giống như một phiên hợp pháp với thư mục PyPI, được mã hóa bằng chứng chỉ PyPI TLS. Một kỹ thuật tương tự, được gọi là "giao diện tên miền", trước đây đã được sử dụng tích cực để ẩn tên máy chủ bằng cách bỏ qua các khóa, sử dụng tùy chọn HTTPS được cung cấp trên một số mạng CDN, chỉ định máy chủ giả trong SNI và chuyển tên máy chủ lưu trữ yêu cầu trong tiêu đề máy chủ HTTP trong phiên TLS.
Để che giấu hoạt động độc hại, gói TrevorC2 đã được sử dụng bổ sung, giúp tương tác với máy chủ tương tự như duyệt web thông thường.
Các gói pptest và ipboards đã sử dụng một cách tiếp cận khác để ẩn hoạt động mạng, dựa trên việc mã hóa thông tin hữu ích trong các yêu cầu tới máy chủ DNS. Phần mềm độc hại truyền thông tin bằng cách thực hiện các truy vấn DNS, trong đó dữ liệu truyền đến máy chủ chỉ huy và điều khiển được mã hóa bằng định dạng base64 trong tên miền phụ. Kẻ tấn công chấp nhận các thông báo này bằng cách kiểm soát máy chủ DNS của miền.
Cuối cùng, nếu bạn quan tâm muốn biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.