I ricercatori di Cybersecurity hanno avvertito di una campagna dannosa che si rivolge agli utenti del repository Python Package deal Index (PYPI) con librerie fasulle che mascherano come utility correlate al “tempo”, ma ospitano funzionalità nascoste per rubare dati sensibili come tokens di accesso al cloud.
Società di sicurezza della catena di approvvigionamento software program inverte disse Ha scoperto due serie di pacchetti per un totale di 20. I pacchetti sono stati scaricati cumulativamente oltre 14.100 volte –
- Snapshot-Picture (2.448 obtain)
- Time-Test-Server (316 obtain)
- Time-Test-Server-get (178 obtain)
- Analisi del tempo (144 obtain)
- Analyzer di tempo (74 obtain)
- Time-Server-test (155 obtain)
- Time-Service-Checker (151 obtain)
- Aclient-SDK (120 obtain)
- Acloud-Consumer (5.496 obtain)
- Acloud-Clienti (198 obtain)
- Acloud-Consumer-use (294 obtain)
- Alicloud-Consumer (622 obtain)
- Alicloud-Consumer-SDK (206 obtain)
- AmzClient-SDK (100 obtain)
- AWSCloud-Consumer-Core (206 obtain)
- Credential-Python-SDK (1.155 obtain)
- enumer-iam (1.254 obtain)
- tclient-sdk (173 obtain)
- Tcloud-Python-SDKS (98 obtain)
- TCLOUD-PYTHON-TEST (obtain 793)
Mentre il primo set si riferisce ai pacchetti utilizzati per caricare i dati nell’infrastruttura dell’attore di minaccia, il secondo cluster è costituito da pacchetti che implementano funzionalità dei shopper cloud per diversi servizi come Alibaba Cloud, Amazon Internet Companies e Tencent Cloud.
Ma hanno anche utilizzato pacchetti correlati “time” per exfiltrate Cloud Secrets and techniques. Tutti i pacchetti identificati sono già stati rimossi dal PYPI come alla scrittura.
Ulteriori analisi hanno rivelato che tre dei pacchetti, acloud-client, enumer-iamE TCLOUD-PYTON-TESTè stato elencato come dipendenza di un progetto GitHub relativamente popolare chiamato Accesskey_tools Questo è stato biforcuto 42 volte e ha iniziato 519 volte.
Un commit di codice sorgente che fa riferimento a Tcloud-Python-test è stato effettuato l’8 novembre 2023, indicando che il pacchetto è stato disponibile per il obtain su PYPI da allora. Il pacchetto è stato scaricato 793 volte fino advert oggi, per statistiche da Pepy.tech.
La divulgazione arriva mentre Fortinet FortiGuard Labs ha dichiarato di aver scoperto migliaia di pacchetti su PYPI e NPM, alcuni dei quali sono stati trovati per incorporare script di installazione sospetti progettati per distribuire codice dannoso durante l’installazione o comunicare con server esterni.
“Gli URL sospetti sono un indicatore chiave di pacchetti potenzialmente dannosi, in quanto vengono spesso utilizzati per scaricare carichi utili aggiuntivi o stabilire comunicazioni con server di comando e controllo (C&C), dando al controllo degli aggressori sui sistemi infetti”, Jenna Wang disse.
“In 974 pacchetti, tali URL sono collegati al rischio di esfiltrazione di dati, ulteriori obtain di malware e altre azioni dannose. È fondamentale esaminare e monitorare gli URL esterni nelle dipendenze del pacchetto per prevenire lo sfruttamento.”
