- Pakiety złośliwego kodu, Python-drgn i Bloxflip, dystrybuowane przez cyberprzestępców wykorzystujących repozytoria pakietów mogą być uznawane za niezawodny i skalowalny kanał dystrybucji złośliwego oprogramowania
PyPI – repozytorium bibliotek i programów dla języka Python ponownie zawierało złośliwe kody, pozwalające na skalowanie ataków cybernetycznych – ostrzegają specjaliści Check Point Research, którzy zapobiegli dalszemu rozprzestrzenieniu się i atakom złośliwego kodu w pakietach Python-drgn oraz Bloxflip. Hakerzy coraz częściej wykorzystują repozytoria pakietów jako skuteczny sposób na dystrybucję złośliwego oprogramowania.
W ostatnich latach nastąpił znaczący wzrost zagrożenia związanego z pakietami oprogramowania, będących zbiorem plików, umożliwiających łatwe instalowanie i aktualizowanie aplikacji. Wiele popularnych systemów opartych na pakietach, takich jak PyPI dla Pythona, umożliwia deweloperom łatwy dostęp do setek tysięcy bibliotek i narzędzi. Niestety, to właśnie te pakiety stanowią coraz poważniejsze zagrożenie dla bezpieczeństwa użytkowników.
Według raportu firmy Check Point Software, coraz więcej ataków cyberprzestępców kierowanych jest właśnie w ten sposób. Atakują oni pakiety podczas ich tworzenia lub aktualizacji, a następnie ukrywają w nich złośliwe oprogramowanie.
Analitycy bezpieczeństwa cybernetycznego z Check Point Research poinformowali na swoim blogu, że w tym roku dokonali kolejnych dwóch odkryć złośliwych kodów w pakietach Python-drgn (przesłany w sierpniu 2022) oraz Bloxflip. Pierwszy z nich był w stanie zbierać dane prywatne użytkowników. Drugi wyłączał program Windows Defender i pobierał plik wykonywalny z sieci za pomocą funkcji „get” Pythona. Na koniec tworzony był podproces, który wykonywał złośliwy plik w środowisku deweloperskim.
– Ataki te mogą mieć poważne konsekwencje, w postaci naruszania danych, zakłóceń działań operacyjnych czy utraty reputacji. Przedstawialiśmy dwa przykłady sytuacji, w których ostatnio zapobiegliśmy atakom pakietów kodu. Pierwszym z nich jest Python-drgn na PyPi, gdzie atakujący mogli zbierać prywatne dane wielu użytkowników. Drugi to Bloxflip, który wyłącza program Windows Defender, aby uniknąć wykrycia. Z punktu widzenia atakującego repozytoria pakietów są niezawodnym i skalowalnym kanałem dystrybucji złośliwego oprogramowania – mówi Lee Levi, kierownik działu bezpieczeństwa poczty w Check Point Software.
Python Package Index, w skrócie PyPI (znane również jako Cheese Shop) jest oficjalnym repozytorium oprogramowania dla języka programowania Python. PyPI umożliwia użytkownikom łatwe pobieranie i instalowanie pakietów oprogramowania Python, takich jak biblioteki i narzędzia, udostępnione przez społeczność programistów. Jest to główne źródło wielu popularnych bibliotek Python, takich jak NumPy, Pandas i Django.
