Новости PyPI-пакет смешал вредоносный код со скомпилированным для обхода средств защиты

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Техническая особенность кода позволила хакерам внедрить в пакет загрузчик вредоносного ПО.


ywnr49dxeeiu3cplwiaj9lgt396b0jqt.jpg


Компания ReversingLabs Для просмотра ссылки Войди или Зарегистрируйся PyPI-пакет, который смешивал вредоносное ПО со скомпилированным кодом, чтобы избежать обнаружения инструментами безопасности, которые проверяют только файлы исходного кода, а не скомпилированные выходные данные. Речь идет о пакете «fshec2», который был удален из репозитория 17 апреля 2023 года после ответственного раскрытия информации в этот же день.

Аналитики ReversingLabs заявили, что это может быть первая атака на цепочку поставок, в которой используется тот факт, что файлы байт-кода Python ( PYC ) могут выполняться напрямую. Файлы PYC представляют собой скомпилированные файлы байт-кода, которые генерируются интерпретатором при выполнении программы Python.

Пакет «fshec2» содержит в себе 3 файла, 2 из которых являются безопасными. Однако один PYC-файл является загрузчиком вредоносного ПО. PYC-файл содержит в себе скомпилированный модуль Python.


7zj6smfyf6k77bba7ut3tas6b6fqjaep.png


Анализ переработанной версии файла PYC показывает, что он настроен на сбор имен пользователей, имен хостов и списков каталогов, а также на получение команд с жестко запрограммированного сервера.

ReversingLabs также наблюдала за загрузкой модуля и запуском другого скрипта Python, который отвечает за получение новых команд, помещенных в файл, который может быть изменен злоумышленником для выдачи различных инструкций.

Дальнейшее изучение C2-сервера выявило неправильную настройку, которая позволяла загружать файлы по их идентификаторам, пронумерованным в последовательном порядке (начиная с 1), без какой-либо авторизации. Это указывает на то, что за атакой стоит неопытный хакер.

Исследователи заключили, что сценарии загрузчика, подобные обнаруженным в пакете «fshec2», содержат минимальное количество кода Python и выполняют простое действие: загрузку скомпилированного модуля Python из пакета «fshec2».
 
Источник новости
www.securitylab.ru

Похожие темы