Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Gli hacker PyPI codificano una nuova tattica subdola. I ricercatori li hanno colti in flagrante
Home » Calendario editoriale » Sicurezza della catena di fornitura del software » Gli hacker PyPI codificano una nuova tattica subdola. I ricercatori li hanno colti in flagrante
Gli aggressori del Python Package Index (PyPI) hanno utilizzato codice compilato per eludere il rilevamento.Probabilmente è il primo attacco a sfruttare l'esecuzione diretta di file .PYC, ma probabilmente non l'ultimo.
Il team di reverse engineering di ReversingLabs guidato da Karlo Zanki (nella foto) ha notato la tattica. Nel Secure Software Blogwatch di questa settimana, riepiloghiamo le risposte giuste.
Il tuo umile osservatore di blog ha curato questi frammenti di blog per il tuo divertimento. Per non parlare delle api in valigia.
Che cavolo c'è?Steven J. Vaughan-Nichols riporta: "Codice Python compilato utilizzato in un nuovo attacco PyPI":
"Fino al male" PyPI non può prendersi una pausa. Il popolare repository di codici del linguaggio di programmazione Python è stato soggetto a numerosi attacchi e ha dovuto limitare i nuovi membri per un po'. Ora [c'è] un nuovo attacco... per schivare gli scanner di sicurezza dei codici software. … Grande. Semplicemente fantastico... Impiega un approccio inesplorato in precedenza, sfruttando la capacità di... file Python byte code (PYC)... di essere eseguiti direttamente. Pertanto, evita gli strumenti di sicurezza che scansionano i file del codice sorgente Python (PY) per individuare eventuali problemi. Il team di ReversingLabs ha trovato il pacchetto sospetto quando la sua piattaforma ReversingLabs Software Supply Chain Security ha scoperto comportamenti sospetti da un... binario compilato....[Ha] attivato una tecnica di caricamento mai vista prima all'interno del file main.py che evita l'utilizzo della solita direttiva import... per evitare rilevamento da parte di strumenti di sicurezza. … In breve, stavano combinando dei guai. … Una volta attiva, la libreria caricata eseguirebbe una serie di funzioni dannose, come la raccolta di nomi utente, nomi host ed elenchi di directory e il recupero di comandi per l'esecuzione utilizzando attività pianificate o cronjob.
Riempiendo gli spazi vuoti,si tratta di Nate Nelson - "Il nuovo malware PyPI utilizza il bytecode Python compilato per eludere il rilevamento":
"Gli aggressori si stanno evolvendo" I pacchetti dannosi non sono nuovi, o particolarmente rari, in PyPI, ma a differenza di molti di essi, fshec2 conteneva tutte le sue funzionalità dannose all'interno del codice compilato, rendendolo difficile da individuare. … La genialità di fshec2 sta nel modo in cui rinuncia alle convenzioni di base di buona igiene degli hacker: [Esso] caricava in anticipo le sue funzionalità dannose e non si basava affatto su strumenti di offuscamento.…Bytecode è una rappresentazione di Python, compilata come un insieme di istruzioni per la macchina virtuale Python. … Esiste a metà strada tra il codice sorgente e l'essere un binario della macchina.… "C'è stato un enorme aumento di... librerie Python dannose [utilizzate] per servire malware," … afferma Ashlee Benge, direttrice della difesa dell'intelligence sulle minacce presso ReversingLabs. … "Questo comportamento è un po' più sofisticato e dimostra che gli aggressori si stanno evolvendo e prestano attenzione ai migliori rilevamenti che vengono implementati. … Probabilmente continueremo a vedere questo tipo di attacco aumentare in futuro. "
E il tuo capo capirebbeLucian Constantin — "La maggior parte degli strumenti di scansione delle vulnerabilità non leggono il software open source compilato":
"Le moderne minacce alla catena di fornitura del software" La stragrande maggioranza dei pacchetti trovati su repository pubblici come npm per JavaScript, PyPI per Python e RubyGems per Ruby sono costituiti da file di codice open source impacchettati in archivi. Sono facili da decomprimere e leggere e, di conseguenza, sono stati creati scanner di sicurezza per questi repository per gestire questo tipo di pacchetti... Per affrontare queste moderne minacce alla catena di fornitura del software, le organizzazioni hanno bisogno di qualcosa di più delle semplici soluzioni di analisi del codice statico. … Gli aggressori sono in costante battaglia con le società di sicurezza per eludere il rilevamento.
Bocca di cavallo?Karlo Zanki di ReversingLabs — "Quando il byte code morde":
"Errori di configurazione" Potrebbe essere il primo attacco alla catena di fornitura a sfruttare il fatto che... i file PYC possono essere eseguiti direttamente. … Abbiamo segnalato il pacchetto scoperto, denominato fshec2, al team di sicurezza PyPI il 17 aprile 2023 ed è stato rimosso dal repository PyPI lo stesso giorno. [Loro] hanno riconosciuto che non era mai stato visto in precedenza... ReversingLabs scansiona regolarmente i registri open source come PyPi, npm, RubyGems e GitHub alla ricerca di file sospetti. … Questi spesso ci saltano agli occhi tra milioni di file legittimi… ospitati su queste piattaforme perché mostrano qualità o comportamenti strani. … Questo è stato il caso di fshec2: … Una scansione effettuata utilizzando la piattaforma ReversingLabs Software Supply Chain Security … ha estratto una combinazione sospetta di comportamenti da un file binario compilato fshec2.… Considerata la dipendenza del malware dall'infrastruttura C2 remota, aveva senso esplorare il web host utilizzato nell'attacco. … Come i normali sviluppatori, gli autori di malware spesso commettono errori di configurazione durante l’impostazione dell’infrastruttura. … L’enorme numero di questi errori potrebbe portarci alla conclusione che questo attacco non è stato opera di un attore sponsorizzato dallo stato e nemmeno di una minaccia persistente avanzata (APT).