Kryptowaluty

Ahoj, w twoich repozytoriach jest złośliwość — PyPI jest najnowszym nadużyciem

Ahoj, w twoich repozytoriach jest złośliwość — PyPI jest najnowszym nadużyciem

Obrazy Getty

Badacz bezpieczeństwa odkrył, że fałszywe pakiety pobrane około 5000 razy z oficjalnego repozytorium Pythona zawierały tajny kod, który instalował oprogramowanie do wydobywania kryptowalut na zainfekowanych maszynach.

Złośliwe pakiety, które były dostępne w repozytorium PyPI, w wielu przypadkach wykorzystywały nazwy naśladujące te z legalnych i często powszechnie używanych pakietów, które już tam są dostępne, poinformował Ax Sharma, badacz z firmy zajmującej się bezpieczeństwem Sonatype. Tak zwane ataki typosquatting kończą się sukcesem, gdy cel przypadkowo wpisuje nazwę, np. „mplatlib” lub „maratlib” zamiast legalnego i popularnego pakietu matplotlib.

Sharma powiedział, że znalazł sześć pakietów, które zainstalowały oprogramowanie do wydobywania kryptowalut, które wykorzystywałoby zasoby zainfekowanych komputerów do wydobywania kryptowaluty i deponowania jej w portfelu atakującego. Wszystkie sześć zostały opublikowane przez kogoś, kto używa nazwy użytkownika PyPI nedog123, w niektórych przypadkach już w kwietniu. Pakiety i numery do pobrania to:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • nauka lib: 626

Złośliwy kod jest zawarty w pliku setup.py każdego z tych pakietów. Powoduje to, że zainfekowane komputery używają kryptokoparki ubqminer lub T-Rex do wydobywania cyfrowej monety i deponowania jej pod następującym adresem: 0x510aec7f266557b7de753231820571b13eb31b57.

PyPI jest często nadużywanym repozytorium od 2016 roku, kiedy student college’u oszukał 17 000 programistów do uruchomienia szkicowego skryptu, który tam zamieścił.

Nie chodzi o to, że PyPI jest nadużywane bardziej niż inne repozytoria. W zeszłym roku pakiety pobrane tysiące razy z RubyGems zainstalowały złośliwe oprogramowanie, które próbowało przechwycić płatności Bitcoin. Dwa lata wcześniej ktoś wstawił backdoora do biblioteki kodu dla 2 milionów użytkowników hostowanej w NPM. Sonatpe od 2019 roku śledzi ponad 12 000 złośliwych pakietów NPM.

Kuszące jest, aby pomyśleć, że spora liczba pobrań zliczonych w tych wydarzeniach została wykonana automatycznie i nigdy nie spowodowała zainfekowania komputerów, ale eksperyment studenta, o którym mowa powyżej, wskazuje na coś innego. Jego fałszywy moduł Pythona został wykonany ponad 45 000 razy w ponad 17 000 oddzielnych domenach, z których część należała do amerykańskich organizacji rządowych i wojskowych. Ten rodzaj rozwiązłości nigdy nie był dobrym pomysłem, ale powinien być surowo zabroniony.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook