Veszélyes hamis Python csomag a PyPI-n

2024 november 13. 05:00   

Egy „fabrice” nevű rosszindulatú Python-csomagot fedeztek fel a Python Package Indexen (PyPI), amely komoly biztonsági fenyegetést jelent a fejlesztők és a szervezetek számára. Ez a csomag 2021 márciusa óta aktív, és több mint 37 000 letöltést gyűjtött össze, a typosquatting nevű technikát használva ki a felhasználók megtévesztésére.

A rosszindulatú csomag

A „Fabrice” csomag arra lett tervezve, hogy utánozza a népszerű és legális „fabric” könyvtárat, amelyet távoli parancsok SSH-n keresztüli végrehajtására használnak. Míg az eredeti „fabric” csomagnak több mint 202 millió letöltése van, a rosszindulatú „fabrice” csomag eddig több ezer felhasználót sikeresen megtévesztett és letöltésre késztetett.

Funkcionalitás és működés

A rosszindulatú csomag működése a célzott operációs rendszertől függően eltér:

Linux rendszeren:

  • Rejtett mappákat hoz létre a felhasználó home könyvtárában.

  • Kódolt shell szkripteket tölt le egy külső szerverről (89.44.9.227), majd futtatja őket.

  • Végrehajtási jogosultságot ad ezeknek a szkripteknek.

Windows rendszeren:

  • Letölt és futtat egy VBScriptet (p.vbs) és egy Python szkriptet (d.py).

  • A VBScript a rejtett Python szkript indítójaként működik.

  • Letölt egy rosszindulatú futtatható fájlt (chrome.exe) a Letöltések mappába.

  • Egy ütemezett feladat létrehozásával biztosítja a perzisztenciát, amely 15 percenként újra lefut.

Elsődleges cél

Függetlenül az operációs rendszertől, a „fabrice” csomag fő célja az AWS-hitelesítő adatok ellopása:

  • A Boto3 AWS SDK for Python-t használja az AWS hozzáférési és titkos kulcsok megszerzésére.

  • Az ellopott hitelesítő adatokat egy Párizsban, az M247 által üzemeltetett VPN-szerverre továbbítja, megnehezítve az adatmozgás nyomon követését.

Hatás és következmények

A csomag több mint három éves jelenléte a PyPI-n egy profi fenyegetést jelentő szervezetet sejtet a háttérben. Az AWS-hitelesítő adatok időbeni begyűjtésével a támadók:

  • Hozzáférést nyerhetnek érzékeny felhőforrásokhoz,

  • Létrehozhatnak egy kiterjedt, nagy értékű adathalmazt,

  • További támadások indítására használhatják az AWS-alapú infrastruktúrát,

  • Másodlagos hátsó ajtókat hozhatnak létre, vagy további káros kódokat telepíthetnek.

Védekezés és védelem

Az ilyen fenyegetések ellen a szakértők az alábbiakat javasolják:

  1. Mélyreható védelmi stratégiák bevezetése.

  2. Többfaktoros hitelesítés (MFA) használata.

  3. Az AWS-fiókok jogosultsági körének szűkítése.

  4. Olyan eszközök használata, amelyek képesek a kódfüggőségek gyanús viselkedésének észlelésére.

  5. A fejlesztők oktatása a biztonságos kódolási gyakorlatokról és a csomagválasztásról.

A „fabrice” csomag felfedezése rávilágít a szoftverellátási lánc biztonsági kockázataira, valamint a harmadik felektől származó csomagok használatakor szükséges fokozott éberség fontosságára a fejlesztési projektekben.

Osszd meg ezt a cikket
Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után
2025 március 14. Fodor Attila

Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után

 A TypeScript csapata többször próbálta már az eredeti JavaScript motort átírni, más programozási nyelvre, de ez idáig ezek a próbálkozások nem hozták a kívánt eredményt. A napokban azonban bejelentették, hogy a Go nyelvre történő átírással áttörést értek el.
Alkalmazás mentes élmény a Deutsche Telekomtól
2025 március 09. Fodor Attila

Alkalmazás mentes élmény a Deutsche Telekomtól

 A Deutsche Telekom a spanyol Telefónica-t követve digitális asszisztens, azaz egyfajta mesterséges komornyik szolgáltatást vezet be saját telefonjain. A megoldást az év második felére ígérik az új készülékeken. A régebbi készülékek esetében is nyújtanak majd valamiféle mesterséges intelligencián alapuló szolgáltatást ami a Magenta AI alatt lesz elérhető.
Pénz keresés Poe App-okkal akár programozási ismeretek nélkül is
2025 február 27. Fodor Attila

Pénz keresés Poe App-okkal akár programozási ismeretek nélkül is

 A Quora nemrégiben bemutatta a Poe Apps nevű új funkcióját, amely lehetővé teszi a felhasználók számára, hogy egyedi, mesterséges intelligencia által támogatott alkalmazásokat hozzanak létre és osszanak meg a Poe platformon. A Quora azt ígéri, hogy feliratkozónként akár 100 dollárt is kaphatunk és 10 000 dollárt ezer üzenetenként.
Tönkreteszik e a kvantumszámítógépek a Bitcoint?
2025 február 26. Fodor Attila

Tönkreteszik e a kvantumszámítógépek a Bitcoint?

 Ahogy egyre közelebb kerülünk az iparban használható kvantumszámítógépek megjelenéséhez, úgy növekszik a félelem, hogy vajon mi történik az egyes kriptovalutákkal és főleg a Bitcoinnal. Vajon életképesek maradnak, vagy percek alatt végeznek minden titkosítással ami ezeket védi? A cikkben igyekeztem szakértői elemzésekre támaszkodva megvizsgálni, hogy jogos e ez a félelem.