Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Os hackers PyPI codificam uma nova tática sorrateira. Pesquisadores os pegaram em flagrante
Página inicial » Calendário editorial » Segurança da cadeia de suprimentos de software » Hackers PyPI codificam nova tática sorrateira. Pesquisadores os pegaram em flagrante
Os invasores do Python Package Index (PyPI) usaram código compilado para evitar a detecção.É possivelmente o primeiro ataque a tirar proveito da execução direta do arquivo .PYC — mas provavelmente não o último.
A equipe de engenharia reversa da ReversingLabs liderada por Karlo Zanki (foto) percebeu a tática. No Secure Software Blogwatch desta semana, reunimos o reax certo.
Seu humilde blogwatcher selecionou essas partes do blog para seu entretenimento. Sem mencionar: Abelhas embaladas em uma mala.
Qual é a graça?Relatórios de Steven J. Vaughan-Nichols — "Código Python compilado usado em um novo ataque PyPI":
"Até travessuras" PyPI não consegue fazer uma pausa. O popular repositório de código da linguagem de programação Python foi sujeito a vários ataques e teve que restringir novos membros por um tempo. Agora [há] um novo ataque … para desviar dos scanners de segurança de código de software. … Ótimo. Simplesmente ótimo.…Ele emprega uma abordagem anteriormente inexplorada, explorando a capacidade de … arquivos de código de byte Python (PYC) … de serem executados diretamente. Assim, evita ferramentas de segurança que escaneiam os arquivos de código-fonte (PY) do Python em busca de problemas. A equipe da ReversingLabs encontrou o pacote suspeito quando sua plataforma ReversingLabs Software Supply Chain Security descobriu comportamentos suspeitos de um … binário compilado.…[Ele] acionou uma técnica de carregamento inédita dentro do arquivo main.py que evita o uso da diretiva de importação usual … para evitar detecção por ferramentas de segurança. … Em suma, eles estavam tramando o mal. … Uma vez ativa, a biblioteca carregada executaria uma série de funções maliciosas, como coletar nomes de usuário, nomes de host e listas de diretórios e buscar comandos para execução usando tarefas agendadas ou cronjob.
Preenchendo os espaços em branco,é Nate Nelson — "Novel PyPI Malware Uses Compiled Python Bytecode to Evade Detection":
"Os atacantes estão evoluindo" Pacotes maliciosos não são novos – ou particularmente raros – no PyPI, mas ao contrário de muitos deles, o fshec2 continha toda a sua funcionalidade maliciosa dentro de seu código compilado, tornando-o difícil de detectar. … A genialidade do fshec2 está em como ele dispensa as convenções básicas da boa higiene do hacker: [Ele] carregou suas funcionalidades maliciosas e não dependia de ferramentas de ofuscação.…Bytecode é uma representação do Python, compilada como um conjunto de instruções para a máquina virtual Python. … Ele existe em algum lugar entre o código-fonte e ser um binário de máquina.…“Houve um grande aumento em … bibliotecas Python maliciosas [sendo] aproveitadas para servir malware”, … diz Ashlee Benge, diretora de defesa de inteligência de ameaças da ReversingLabs. … “Esse comportamento é um pouco mais sofisticado e mostra que os invasores estão evoluindo e prestando atenção às melhores detecções que estão sendo implementadas. … Provavelmente continuaremos a ver esse tipo de ataque aumentar no futuro. "
E seu chefe entenderiaLucian Constantin — "A maioria das ferramentas de verificação de vulnerabilidade não lê software de código aberto compilado":
"Ameaças modernas da cadeia de suprimentos de software" A grande maioria dos pacotes encontrados em repositórios públicos como npm para JavaScript, PyPI para Python e RubyGems para Ruby consistem em arquivos de código-fonte aberto empacotados em arquivos. Eles são fáceis de descompactar e ler e, como resultado, os scanners de segurança para esses repositórios foram criados para lidar com esse tipo de embalagem.… … Os invasores estão em uma batalha constante com as empresas de segurança para evitar a detecção.
Boca de cavalo?Karlo Zanki, da ReversingLabs — "Quando o código de bytes morde":
"Erros de configuração" Pode ser o primeiro ataque à cadeia de suprimentos a tirar proveito do fato de que … os arquivos PYC podem ser executados diretamente. … Relatamos o pacote descoberto, chamado fshec2, à equipe de segurança do PyPI em 17 de abril de 2023, e ele foi removido do repositório PyPI no mesmo dia. [Eles] reconheceram que não havia sido visto anteriormente.…ReversingLabs verifica regularmente registros de código aberto, como PyPi, npm, RubyGems e GitHub, procurando por arquivos suspeitos. … Eles geralmente nos surpreendem entre os milhões de … arquivos legítimos hospedados nessas plataformas porque exibem qualidades ou comportamentos estranhos. … Esse foi o caso do fshec2: … Uma varredura usando a plataforma ReversingLabs Software Supply Chain Security … extraiu uma combinação suspeita de comportamentos de um binário compilado do fshec2.…Dada a dependência do malware na infraestrutura C2 remota, fazia sentido explorar a web host usado no ataque. … Como os desenvolvedores comuns, os autores de malware geralmente cometem erros de configuração ao configurar a infraestrutura. … O grande número desses erros pode nos levar à conclusão de que esse ataque não foi obra de um ator patrocinado pelo estado e não de uma ameaça persistente avançada (APT).