Et nyt angreb på forsyningskæden har afsløret, hvordan noget så uskyldigt som en tastefejl kan åbne døren for alvorlige sikkerhedsmæssige trusler, advarer eksperter.
En rapport fra Checkmarx hævder, at ondsindede aktører bruger smarte metoder til at narre udviklere til at downloade falske pakker, som derefter kan give hackere kontrol over deres systemer.
Angriberne retter sig primært mod brugere af Colorama, der er en populær Python-pakke, og Colorizr, der er et lignende værktøj brugt i JavaScript (NPM).
"Dette angreb er rettet mod Python- og NPM-brugere på Windows og Linux via tastefejls-angreb og navneforvirring," sagde Ariel Harush, forsker hos Checkmarx, ifølge TechRadar.
Angriberne benytter en teknik kaldet typosquatting. For eksempel kan en udvikler komme til at skrive 'col0rama' eller 'coloramaa' i stedet for 'colorama' og ende med at downloade en skadelig version.
Disse falske pakker blev uploadet til et PipPI-repository, som er den primære kilde til Python-biblioteker.
"Vi har fundet ondsindede Python (PyPI)-pakker som en del af en typosquatting-kampagne. De ondsindede pakker muliggør fjernkontrol, vedvarende adgang og lignende," udtalte Darren Meyer, sikkerhedsambassadør hos Checkmarx.
Det, der gør denne kampagne usædvanlig, er, at hackerne blandede navne fra forskellige økosystemer og brugte NPM-navne (JavaScript) til at narre Python-brugere. Denne form for angreb på tværs af platforme er sjælden og antyder en mere avanceret og potentielt koordineret strategi.
Windows- og Linux-koderne blev uploadet med lignende navne og på lignende tidspunkter, men brugte forskellige værktøjer, teknikker og infrastruktur - hvilket kan tyde på, at de ikke nødvendigvis stammer fra samme kilde.
Når de falske pakker installeres, kan de forårsage alvorlig skade. På Windows-systemer opretter malwaren planlagte opgaver for at opretholde vedvarende adgang og indsamle miljøvariabler - herunder potentielt følsomme adgangsoplysninger.
Den forsøger også at deaktivere selv de bedste antivirusprogrammer ved hjælp af PowerShell-kommandoer som 'Set-MpPreference -DisableIOAVProtection $true'.
På Linux-systemer indeholder pakker som Colorizator og coloraiz kodede payloads, der kan oprette krypterede reverse shells, kommunikere via platforme som Telegram og Discord og overføre data til tjenester som Pastebin.
Disse scripts bliver ikke aktiveret på én gang - de er designet til at være skjulte og vedholdende, og bruger teknikker som at maskere sig som kerneprocesser og redigere rc.local og crontabs for automatisk opstart.
Selvom de ondsindede pakker er blevet fjernet fra offentlige repositories, er truslen langt fra forsvundet.
Udviklere bør derfor være meget opmærksomme, når de installerer pakker, da selv de bedste beskyttelsessystemer kan have svært ved at opdage disse snedige metoder. Dobbelttjek altid stavemåden, og sørg for, at pakken kommer fra en pålidelig kilde.
Checkmarx anbefaler, at organisationer gennemgår alle implementerede og potentielt anvendte pakker, undersøger deres applikationskode, gransker private repositories og blokerer kendte ondsindede pakkenavne.
