Stručnjaci za sajber bezbednost iz kompanije Phylum otkrili su maliciozni sadržaj ugrađen u popularni Python paket na PyPI repozitorijumu. Paket, nazvan requests-darwin-lite, je neovlašćena varijanta široko korišćene requests biblioteke.
Requests-darwin-lite paket je vešto dizajniran da oponaša svoj legitimni pandan, ali je uključivao Go binarni fajl skriven unutar velike slikovne datoteke koja je odavala utisak jednostavne logo slike.
Ovaj PNG fajl bio je težak neobičnih 17MB, što je u kompletnoj suprotnosti sa normalnom veličinom od približno 300kB za fajl ovog tipa.
Tokom instalacije paketa, specijalizovana klasa komandi ‘PyInstall’ se aktivirala ako je instalaciono okruženje bilo macOS. Ova klasa izvršavala je base64-kodiranu komandu koja je izdvajala UUID (Universal Unique Identifier) sistema.
Kod je proveravao specifičan UUID, što je ukazivalo na ciljani napad. Ako se UUID nije poklapao, instalacija je nastavljana bez postavljanja malwarea. Ovo sugeriše da su napadači testirali svoju distribuciju ili su imali vrlo specifičnu metu na umu.
Kada su uslovi bili ispunjeni, prevelika PNG datoteka je raspakivala skriveni binarni fajl – koji je zatim postao izvršan i pokrenut u pozadini, efektivno dajući napadačima kontrolu nad mašinom. Analiza fajla identifikovala je binarni fajl kao komponentu OSX/Silver, C2 (command and control) okvira sličnog Cobalt Strike-u, ali manje poznatog i samim tim su šanse za njegovo otkrivanje bile znatno niže.
Phylum je primetio da su ranije verzije ovog paketa uključivale zlonamerni instalacioni hook i spakovani binarni fajl. Međutim, kasnije verzije – označene kao 2.28.0 i 2.28.1 – smanjile su ove agresivne funkcije; prva više nije izvršavala binarni fajl pri instalaciji, dok druga nije imala zlonamerne komponente uopšte.
Ovo otkriće odmah je prijavljeno PyPI-u, što je dovelo do uklanjanja svih verzija paketa iz repozitorijuma.
Ovaj niz događaja dodatno je naglasio veliku potrebu za budnošću u open-source zajednici gde zbunjivanje i ciljani napadi postaju sve sofisticiraniji.
Ovaj incident je kritičan podsetnik da napadači nastavljaju da razvijaju svoje metode za eksploataciju open-source ekosistema, koristeći naizgled nevine pakete za distribuciju malwarea.
Samim tim, celokupna tehnološka zajednica trebalo bi da bude znatno opreznija i radi na preventivnim merama kako bi se zaštitila od ovakvih napada.