Mã Python độc hại

Trong cuộc tấn công chuỗi cung ứng mới nhất, một tác nhân đe dọa không xác định đã tạo ra một gói Python độc hại có vẻ như là một bộ công cụ phát triển phần mềm (SDK) cho một ứng dụng khách bảo mật nổi tiếng từ SentinelOne.  

Theo một lời khuyên từ công ty an ninh mạng ReversingLabs đưa ra vào thứ Hai, gói có tên là SentinelSneak, dường như là một "ứng dụng khách SentinelOne đầy đủ chức năng" và hiện đang được phát triển với các bản cập nhật thường xuyên xuất hiện trên Chỉ mục gói Python (PyPI), kho lưu trữ chính cho .  

Các nhà nghiên cứu lưu ý rằng SentinelSneak không cố gắng thực hiện các hành động độc hại khi nó được cài đặt, nhưng nó đợi chức năng của nó được gọi bởi một chương trình khác. Do đó, cuộc tấn công làm nổi bật sự tập trung của những kẻ tấn công vào chuỗi cung ứng phần mềm như một cách để đưa mã bị xâm nhập vào các hệ thống được nhắm mục tiêu làm điểm khởi đầu cho các cuộc tấn công tiếp theo. Các nhà nghiên cứu cho biết cho đến nay, những cuộc tấn công tiếp theo đó có thể chưa xảy ra.  

Tomislav Pericin, kiến ​​trúc sư phần mềm trưởng tại ReversingLabs cho biết: "Nếu chỉ nhìn lướt qua nguồn gốc của gói này, bạn có thể dễ dàng bỏ sót chức năng độc hại được đưa vào mã SDK hợp pháp".

Cuộc tấn công cũng thể hiện một cách phổ biến để tấn công chuỗi cung ứng. Sử dụng một biến thể của lỗi đánh máy để tạo các gói độc hại có tên tương tự như các thành phần nguồn mở nổi tiếng. Thường được gọi là sự nhầm lẫn phụ thuộc, kỹ thuật này là một ví dụ về một kỹ thuật được sử dụng để chống lại hệ sinh thái Trình quản lý gói Node (npm) cho các chương trình JavaScript trong một cuộc tấn công có tên là "IconBurst", theo nghiên cứu được công bố vào tháng 7.  

Trong một cuộc tấn công đánh máy khác, một nhóm đe dọa đã tải lên ít nhất 29 bản sao của các gói phần mềm phổ biến lên PyPI

"Gói giả mạo SentinelOne chỉ là mối đe dọa mới nhất để tận dụng kho lưu trữ PyPI và nhấn mạnh mối đe dọa ngày càng tăng đối với chuỗi cung ứng phần mềm, khi các tác nhân độc hại sử dụng các chiến lược như 'đánh máy' để khai thác sự nhầm lẫn của nhà phát triển và đẩy mã độc vào các đường ống phát triển và ứng dụng hợp pháp."

Mặc dù các loại kho lưu trữ mã đang bị tấn công, nhưng về tổng thể, hệ sinh thái npm đã phải chịu nhiều sự chú ý độc hại hơn so với Python Package Index. Vào năm 2022, 1.493 gói độc hại đã được tải lên PyPI, giảm gần 60% so với 3.685 gói tải lên độc hại do ReversingLabs phát hiện vào năm 2021, công ty cho biết

Lừa người không cẩn thận

Trong nỗ lực mới nhất, SentinelOne giả 1. 2. 1 gói tăng nhiều cờ đỏ, lời khuyên đã nêu. Các hành vi đáng ngờ bao gồm việc thực thi các tệp, tạo các quy trình mới và liên lạc với các máy chủ bên ngoài bằng địa chỉ IP của chúng thay vì tên miền

ReversingLabs nhấn mạnh rằng khách hàng không có kết nối với SentinelOne, ngoài việc sử dụng tên của công ty bảo mật. Gói PyPI dường như là SDK giúp đơn giản hóa quyền truy cập theo chương trình vào ứng dụng khách

"Có thể các tác nhân độc hại đang cố gắng tạo ra danh tiếng và sự công nhận thương hiệu mạnh mẽ của SentinelOne, khiến người dùng PyPI tin rằng họ đã triển khai giải pháp bảo mật của SentinelOne mà không thực hiện bước — cần thiết — để trở thành khách hàng của SentinelOne," ReversingLabs tuyên bố trong báo cáo của mình. . "Gói PyPI này nhằm phục vụ như một SDK để tóm tắt quyền truy cập vào API của SentinelOne và giúp việc sử dụng API theo chương trình trở nên đơn giản hơn. "

Trong một tuyên bố với Dark Reading, SentinelOne đã nhắc lại rằng gói hàng này là giả. "SentinelOne không liên quan đến gói Python độc hại gần đây lợi dụng tên của chúng tôi. Những kẻ tấn công sẽ đặt bất kỳ tên nào vào các chiến dịch của chúng mà chúng cho rằng có thể giúp chúng đánh lừa các mục tiêu đã định, tuy nhiên gói này không được liên kết với SentinelOne theo bất kỳ cách nào. Khách hàng của chúng tôi được an toàn, chúng tôi chưa thấy bất kỳ bằng chứng nào về sự xâm phạm do chiến dịch này và PyPI đã xóa gói. "

Những kẻ tấn công xem các nhà phát triển như một vectơ khác

Cuộc tấn công cũng cho thấy rằng các nhà phát triển đang trở thành mục tiêu ngày càng tăng của những kẻ tấn công, những kẻ coi họ là điểm yếu trong hệ thống phòng thủ của các công ty mục tiêu, cũng như một cách tiềm năng để lây nhiễm cho khách hàng của các công ty đó.  

Ví dụ, vào tháng 9, những kẻ tấn công đã sử dụng thông tin đăng nhập bị đánh cắp và kênh Slack đang phát triển để xâm phạm nhà phát triển trò chơi Rockstar Games và giành quyền truy cập vào dữ liệu nhạy cảm, bao gồm cả nội dung cho nhượng quyền Grand Theft Auto hàng đầu của nhà phát triển

Vì lý do đó, các công ty nên giúp các nhà phát triển của họ hiểu những thành phần phần mềm nào có thể gây rủi ro, Pericin nói

Ông nói: “Các nhà phát triển nên đặt các phụ thuộc dự án mới dưới mức độ xem xét kỹ lưỡng cao hơn trước khi chọn cài đặt chúng”. "Cho rằng phần mềm độc hại chỉ kích hoạt khi được sử dụng chứ không phải khi được cài đặt, một nhà phát triển thậm chí có thể đã tạo một ứng dụng mới trên SDK độc hại này mà không nhận thấy điều gì bất thường. "

Trong trường hợp của SentinelSneak, tác nhân đe dọa đằng sau con ngựa thành Troy đã xuất bản năm gói bổ sung, sử dụng các biến thể của tên SentinelOne. Các biến thể dường như là các thử nghiệm và không có tệp chính chứa nhiều chức năng độc hại

ReversingLabs đã báo cáo sự cố với nhóm bảo mật PyPI vào tháng 12. 15, công ty cho biết. SentinelOne đã được thông báo vào ngày hôm sau

"Chúng tôi đã phát hiện ra gói độc hại này từ rất sớm", công ty cho biết. "Không có dấu hiệu cho thấy bất kỳ ai đã bị ảnh hưởng bởi phần mềm độc hại này. "

Python có thể độc hại không?

Một số ví dụ về mã độc hại là gì?

Phần mềm gián điệp có được viết bằng Python không?

Mã độc * là gì?