Система поиска угроз ReversingLabs нашла вредоносный код в пакете aiocpa на прошлой неделе. Этот пакет был разработан для компрометации криптовалютных кошельков. RL дало знать о вредоносном пакете в PyPI, и позднее исследователи из Phylum сообщили о нем. Вредоносный пакет был представлен как инструмент криптоклиента и был разработан таким образом, чтобы привлечь пользователей и затем скомпрометировать их с помощью вредоносного обновления версии. RL провела дифференциальный анализ двух версий пакета aiocpa с помощью своих технологий машинного обучения и смогла выяснить, как именно проходила эта атака.
Описание
В отличие от большинства атак на репозитории с открытым исходным кодом, злоумышленники, стоящие за aiocpa, не притворялись легитимными пакетами и не использовали опечатки.
Они просто опубликовали свой собственный инструмент криптоклиента, чтобы привлечь пользователей. RL обнаружила вредоносный код в пакете и сообщила об этом команде PyPI, которая удаление пакета. Они также опубликовали блог о вредоносном пакете. Затем злоумышленники попытались захватить проект PyPI с названием pay, возможно, чтобы получить доступ к базе уже существующих пользователей или привлечь новых. Они подали запрос на захват пакета, но PyPI поместил его в карантин и затем удалил.
Разработчики и пользователи PyPI должны быть осторожными при использовании пакетов из этого репозитория и обращать внимание на изменения в пакетах, особенно при захвате имен пакетов. PyPI рекомендует фиксировать зависимости и использовать хэши для предотвращения нежелательных обновлений. Они также рекомендуют оценивать безопасность сторонних пакетов, кода, инструментов и расширений, которые используются при разработке программного обеспечения.
При первом взгляде на страницу пакета aiocpa на PyPI не было никаких подозрений. Он выглядел как хорошо поддерживаемый клиентский пакет API криптоплатежей. Однако после более детального анализа обнаружился обфусцированный код в одном из файлов. Деобфускация позволила исследователям обнаружить вредоносную функциональность пакета aiocpa, которая включала отправку конфиденциальной информации удаленному Telegram-боту, такой как токены для криптовалютной торговли. RL сообщила о вредоносном пакете команде безопасности PyPI, и пакет был удален.
Таким образом, исследователи RL нашли вредоносный код в пакете aiocpa, злоумышленники использовали скрытый путь для проведения кампании, и поиск угроз на основе машинного обучения помогает обнаружить атаку на цепочку поставок программного обеспечения. Разработчики и пользователи PyPI должны быть осторожными при использовании пакетов из этого репозитория и обращать внимание на изменения в пакетах, особенно при захвате имен пакетов.
Indicators of Compromise
SHA1
- 01f7db47368bffa279fb15c688518774454650cf
- 7007be259829d72e73ff63ad409770ca56cfc418
- a1187d2a4acfe8ddaee3c7be79a9bb838142903a
- fc36c157075dd4302f71ed2660e19a61016b085c
