Οι ερευνητές κυβερνοασφάλειας βρήκαν για άλλη μια φορά κακόβουλα πακέτα να κρύβονται στο επίσημο αποθετήριο (repository) της Python, PyPI.
Σύμφωνα με εκτιμήσεις της ομάδας ερευνών ασφαλείας στην DevOps ειδικούς JFrog, τα οκτώ κακόβουλα πακέτα Python, τα κατέβασαν στον σκληρό τους περισσότερες από 30.000 φορές.
Η ανάλυση των ερευνητών αποκαλύπτει ότι τα μολυσμένα πακέτα έχουν σχεδιαστεί για να μυρίζουν πληροφορίες πιστωτικών καρτών που συνήθως αποθηκεύονται αυτόματα από μερικά δημοφιλή προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων των Chrome και Edge.
«Η συνεχιζόμενη ανακάλυψη πακέτων κακόβουλου λογισμικού σε δημοφιλή αποθετήρια όπως το PyPI είναι μια ανησυχητική τάση που μπορεί να οδηγήσει σε εκτεταμένες επιθέσεις στην αλυσίδα εφοδιασμού. Η ικανότητα των επιτιθέμενων να χρησιμοποιούν απλές τεχνικές συσκότισης για την εισαγωγή κακόβουλου λογισμικού σημαίνει ότι οι προγραμματιστές πρέπει να ανησυχούν και να επαγρυπνούν », παρατήρησε ο Asaf Karas, CTO, Security at JFrog.
Έρευνα και έλεγχοι
Η PyPI έχει καθαρίσει τα πακέτα αφού ειδοποιήθηκε από το JFrog.
Σύμφωνα με το JFrog, τα πακέτα εκτός από την παρακολούθηση των στοιχείων της πιστωτικής κάρτας, έσβησαν και τα tokens της πλατφόρμας μηνυμάτων Discord, τα οποία θα μπορούσαν να χρησιμοποιηθούν για να υποδυθούν τον χρήστη.
Το PyPI βρίσκεται στο κέντρο πολλών εκστρατειών για να “δηλητηριάσει” το αποθετήριο με κακόβουλα πακέτα. Νωρίτερα φέτος τον Ιούνιο, το PyPI καθαρίστηκε από μισή ντουζίνα πακέτα που περιείχαν κακόβουλο λογισμικό κρυπτογράφησης και ένα μήνα πριν από αυτό το χώρο αποθήκευσης πλημμύρισε με spam πακέτα.
Στην πραγματικότητα, μια πρόσφατη μελέτη αποκάλυψε ότι σχεδόν τα μισά πακέτα στο PyPI έχουν ένα ή περισσότερα προβλήματα ασφάλειας.
Οι ερευνητές πιστεύουν ότι η έλλειψη επιτήρησης και αυτοματοποιημένων ελέγχων ασφαλείας στο PyPI και σε άλλα δημόσια αποθετήρια λογισμικού καθιστά αρκετά απλό για τους φορείς απειλής να εισάγουν κακόβουλο κώδικα.
Ο JFrog προτείνει ότι οι προγραμματιστές πρέπει να ενσωματώσουν προληπτικά μέτρα όπως η επαλήθευση υπογραφών βιβλιοθήκης στους αγωγούς CI/CD, μαζί με εργαλεία που σαρώνουν ύποπτο κώδικα.
“Αυτή είναι μια συστημική απειλή και πρέπει να αντιμετωπιστεί ενεργά σε πολλά επίπεδα, τόσο από τους συντηρητές των αποθετηρίων λογισμικού όσο και από τους προγραμματιστές”, πιστεύει ο Karas.
[signoff]
