Veszélyes hamis Python csomag a PyPI-n

2024 november 13. 05:00   

Egy „fabrice” nevű rosszindulatú Python-csomagot fedeztek fel a Python Package Indexen (PyPI), amely komoly biztonsági fenyegetést jelent a fejlesztők és a szervezetek számára. Ez a csomag 2021 márciusa óta aktív, és több mint 37 000 letöltést gyűjtött össze, a typosquatting nevű technikát használva ki a felhasználók megtévesztésére.

A rosszindulatú csomag

A „Fabrice” csomag arra lett tervezve, hogy utánozza a népszerű és legális „fabric” könyvtárat, amelyet távoli parancsok SSH-n keresztüli végrehajtására használnak. Míg az eredeti „fabric” csomagnak több mint 202 millió letöltése van, a rosszindulatú „fabrice” csomag eddig több ezer felhasználót sikeresen megtévesztett és letöltésre késztetett.

Funkcionalitás és működés

A rosszindulatú csomag működése a célzott operációs rendszertől függően eltér:

Linux rendszeren:

  • Rejtett mappákat hoz létre a felhasználó home könyvtárában.

  • Kódolt shell szkripteket tölt le egy külső szerverről (89.44.9.227), majd futtatja őket.

  • Végrehajtási jogosultságot ad ezeknek a szkripteknek.

Windows rendszeren:

  • Letölt és futtat egy VBScriptet (p.vbs) és egy Python szkriptet (d.py).

  • A VBScript a rejtett Python szkript indítójaként működik.

  • Letölt egy rosszindulatú futtatható fájlt (chrome.exe) a Letöltések mappába.

  • Egy ütemezett feladat létrehozásával biztosítja a perzisztenciát, amely 15 percenként újra lefut.

Elsődleges cél

Függetlenül az operációs rendszertől, a „fabrice” csomag fő célja az AWS-hitelesítő adatok ellopása:

  • A Boto3 AWS SDK for Python-t használja az AWS hozzáférési és titkos kulcsok megszerzésére.

  • Az ellopott hitelesítő adatokat egy Párizsban, az M247 által üzemeltetett VPN-szerverre továbbítja, megnehezítve az adatmozgás nyomon követését.

Hatás és következmények

A csomag több mint három éves jelenléte a PyPI-n egy profi fenyegetést jelentő szervezetet sejtet a háttérben. Az AWS-hitelesítő adatok időbeni begyűjtésével a támadók:

  • Hozzáférést nyerhetnek érzékeny felhőforrásokhoz,

  • Létrehozhatnak egy kiterjedt, nagy értékű adathalmazt,

  • További támadások indítására használhatják az AWS-alapú infrastruktúrát,

  • Másodlagos hátsó ajtókat hozhatnak létre, vagy további káros kódokat telepíthetnek.

Védekezés és védelem

Az ilyen fenyegetések ellen a szakértők az alábbiakat javasolják:

  1. Mélyreható védelmi stratégiák bevezetése.

  2. Többfaktoros hitelesítés (MFA) használata.

  3. Az AWS-fiókok jogosultsági körének szűkítése.

  4. Olyan eszközök használata, amelyek képesek a kódfüggőségek gyanús viselkedésének észlelésére.

  5. A fejlesztők oktatása a biztonságos kódolási gyakorlatokról és a csomagválasztásról.

A „fabrice” csomag felfedezése rávilágít a szoftverellátási lánc biztonsági kockázataira, valamint a harmadik felektől származó csomagok használatakor szükséges fokozott éberség fontosságára a fejlesztési projektekben.

Osszd meg ezt a cikket
Új szabványos lock fájlformátum a Python csomagkezelésében
2025 április 03. Fodor Attila

Új szabványos lock fájlformátum a Python csomagkezelésében

 A Python fejlesztőközössége a PEP 751 elfogadásával bevezeti a pylock.toml formátumot, amely egységes és biztonságos megoldást kínál a függőségek kezelésére. Ez a lépés egy régi problémát old meg, hiszen eddig nem létezett olyan hivatalos szabvány, amely garantálta volna a csomagverziók és függőségek konzisztens kezelését különböző környezetekben.
Megérkezett a Babylon.js 8.0
2025 március 31. Fodor Attila

Megérkezett a Babylon.js 8.0

 A Microsoft egy évnyi intenzív fejlesztés után végre bemutatta a Babylon.js legújabb, 8.0-s verzióját. Az új kiadás számos korszerű funkcióval érkezik, melyek célja, hogy még gyorsabb és látványosabb, interaktív webes élményeket tegyen lehetővé. Az IBL árnyékok segítségével a környezet megvilágítása valósághűbbé válik, míg a területi fények lehetőséget adnak arra, hogy a 2D-s fénykibocsátás egyszerűen, de hatékonyan jelenjen meg. Emellett az alfa állapotban bemutatott Node Render Graph révén a fejlesztők teljes irányítást kapnak a renderelési folyamat felett, míg az új Lightweight Viewer és a WGSL Core Engine shaderek tovább csökkentik a fejlesztési időt és javítják a teljesítményt.
Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után
2025 március 14. Fodor Attila

Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után

 A TypeScript csapata többször próbálta már az eredeti JavaScript motort átírni, más programozási nyelvre, de ez idáig ezek a próbálkozások nem hozták a kívánt eredményt. A napokban azonban bejelentették, hogy a Go nyelvre történő átírással áttörést értek el.
Alkalmazás mentes élmény a Deutsche Telekomtól
2025 március 09. Fodor Attila

Alkalmazás mentes élmény a Deutsche Telekomtól

 A Deutsche Telekom a spanyol Telefónica-t követve digitális asszisztens, azaz egyfajta mesterséges komornyik szolgáltatást vezet be saját telefonjain. A megoldást az év második felére ígérik az új készülékeken. A régebbi készülékek esetében is nyújtanak majd valamiféle mesterséges intelligencián alapuló szolgáltatást ami a Magenta AI alatt lesz elérhető.