Administratörer av Python Package Index (PyPI) har tagit bort 10 skadliga programvarukodpaket från registret efter att en säkerhetsleverantör informerat dem om problemet.
Incidenten är den senaste i en snabbt växande lista över senaste tillfällen där hotaktörer har placerat oseriösa programvaror på allmänt använda programvarulager som PyPI, Node Package Manager (npm) och Maven Central, med målet att äventyra flera organisationer. Säkerhetsanalytiker har beskrivit trenden som att utvecklingsteamen avsevärt ökar behovet av due diligence när de laddar ner tredjeparts- och öppen källkod från offentliga register.
Forskare vid Check Points Spectralops.io upptäckte denna senaste uppsättning skadliga paket på PyPI och fann att de var droppare för skadlig programvara som stjäl information. Paketen designades för att se ut som legitim kod - och i vissa fall efterliknade andra populära paket på PyPI.
Skadlig kod i installationsskript
Check Point-forskare upptäckte att hotaktörerna som hade placerat skadlig programvara i registret hade inbäddat skadlig kod i paketinstallationsskript. Så när en utvecklare använde installationskommandot "pip" för att installera något av de oseriösa paketen, kördes den skadliga koden obemärkt på användarens maskin och installerade skadlig programvara.
Till exempel innehöll ett av de falska paketen, kallat "Ascii2text", skadlig kod i en fil (_init_.py) importerad av installationsskriptet (setup.py). När en utvecklare försökte installera paketet laddade koden ner och körde ett skript som sökte efter lokala lösenord, som det sedan laddade upp till en Discord-server. Det skadliga paketet designades för att se ut exakt som ett populärt konstpaket med samma namn och beskrivning, enligt Check Point.
Tre av de 10 oseriösa paketen (Pyg-utils, Pymocks och PyProto2) verkar ha utvecklats av samma hotaktör som nyligen distribuerade skadlig programvara för stjäl AWS-referenser på PyPI. Under installationen av setup.py kopplade Py-Utils till exempel till samma skadliga domän som den som användes i AWS-kampanjen för att stjäla autentiseringsuppgifter. Även om Pymocks och PyProto2 kopplade till en annan skadlig domän under installationsprocessen, var deras kod nästan identisk med Pyg-utils, vilket fick Check Point att tro att samma författare hade skapat alla tre paketen.
De andra paketen inkluderar ett troligt nedladdare av skadlig programvara som heter Test-async som påstods vara ett paket för att testa kod; en som heter WINRPCexploit för att stjäla användaruppgifter under installationsprocessen för setup.py; och två paket (Free-net-vpn och Free-net-vpn2) för att stjäla miljövariabler.
"Det är viktigt att utvecklare håller sina handlingar säkra och dubbelkollar alla programvaruingredienser som används och särskilt sådana som laddas ner från olika arkiv", varnar Check Point.
Säkerhetsleverantören svarade inte omedelbart på frågan hur länge de skadliga paketen kan ha varit tillgängliga i PyPI-registret eller hur många personer som kan ha laddat ner dem.
Ökad exponering för försörjningskedjan
Incidenten är den senaste som belyser de växande farorna med att ladda ner tredjepartskod från offentliga arkiv utan ordentlig granskning.
Bara förra veckan, rapporterade Sonatype upptäckt tre paket som innehåller ransomware som en hackare i skolåldern i Italien hade laddat upp till PyPI som en del av ett experiment. Mer än 250 användare laddade ner ett av paketen, varav 11 fick filer krypterade på sin dator. I det fallet kunde offren få dekrypteringsnyckeln utan att behöva betala en lösensumma eftersom hackaren uppenbarligen hade laddat upp skadlig programvara utan uppsåt.
Det har dock funnits många andra tillfällen där angripare har använt offentliga kodlager som startplattor för distribution av skadlig programvara.
Tidigare i år upptäckte Sonatype också ett skadligt paket för att ladda ner Cobalt Strike attack kit på PyPI. Handla om 300 utvecklare laddade ner skadlig programvara innan den togs bort. I juli upptäckte forskare från Kaspersky fyra mycket fördunklade informationsstöldare lurar på det mycket använda npm-förrådet för Java-programmerare.
Angripare har i allt högre grad börjat rikta in sig på dessa register på grund av deras breda räckvidd. PyPI, till exempel, har över 613,000 användare och kod från webbplatsen är för närvarande inbäddad i mer än 391,000 500 projekt världen över. Organisationer av alla storlekar och typer – inklusive Fortune XNUMX-företag, programvaruutgivare och statliga myndigheter – använder kod från offentliga arkiv för att bygga sin egen programvara.
