Check Point Software: Εντοπισμός κακόβουλων πακέτων στο PyPI

Related

Cosmote vs Telekom: Πόσο κοντά είναι η αλλαγή του πιο εμβληματικού brand του ΟΤΕ – Οικονομικός Ταχυδρόμος

Όπως έχει καθιερώσει τα τελευταία χρόνια έτσι και φέτος ο διευθύνων σύμβουλος του Ομίλου Telekom Tim Höttges επισκέφτηκε τη χώρα μας, συναντήθηκε με τον πρωθυπουργό ενώ επιθεώρησε και δύο από τα έργα που έχει δρομολογήσει και αναβαθμίσει πρόσφατα ο Όμιλος ΟΤΕ, το 112 και το πληροφοριακό σύστημα ENGAGE για το υπουργείο Πολιτικής Προστασίας. Ειδικά φέτος

Νέα ημερομηνία μετάδοσης – H 30η τελετή απονομής των Critics’ Choice Awards αποκλειστικά στην COSMOTE TV

ΚΑΤΗΓΟΡΙΕΣ 25/01/2025 Η 30η τελετή απονομής των Critics’ Choice Awards, ένας από τους μεγαλύτερους τηλεοπτικούς θεσμούς παγκοσμίως, που τιμά τους καλλιτέχνες και δημιουργούς στον χώρο του κινηματογράφου και της τηλεόρασης, έρχεται για 4η χρονιά ζωντανά και αποκλειστικά στην COSMOTE TV. Η 30η τελετή απονομής των Critics’ Choice Awards, η οποία αναβλήθηκε εκ νέου λόγω των πυρκαγιών στο Λος Άντζελες, μεταφέρεται για την Παρασκευή 7/2. Η ζωντανή μετάδοση της τελετής στην  COSMOTE TV , μεταφέρεται

ΑΕΚ – Παναιτωλικός (25/1, 20:00 COSMOTE Sport 1HD): Να φανεί η αλλαγή στο γήπεδο

Intime STOIXIMAN SUPERLEAGUE Στη Νέα Φιλαδέλφεια, με τον κόσμο στο πλευρό της και τον Ματίας Αλμέιδα στον πάγκο της, η ΑΕΚ θα υποδεχθεί τον Παναιτωλικό, στο τελευταίο χρονικά ματς του πρώτου «πιάτου» της 20ής αγωνιστικής της Stoiximan Super League. Η Ένωση πέρασε μια… τρικυμία έπειτα από την ήττα στο ντέρμπι της περασμένης αγωνιστικής από τον

25 Ιανουαρίου – Οι αθλητικές μεταδόσεις της ημέρας

12:00 COSMOTE SPORT 6 HD World Athletics Indoor Tour Gold 2025 Αστάνα 14:00 Mega Play Ολυμπιακός – ΠΑΟΚ Μπάσκετ Α1 Γυναικών 14:30 COSMOTE SPORT 3 HD Λούτον – Μίλγουολ Sky Bet EFL Championship 15:00 Novasports 1HD Μαγιόρκα – Μπέτις Ισπανικό Πρωτάθλημα 15:00 ΣΚΑΪ Μακεδονικός Νεάπολης – ΠΟΤ Ηρακλής Super League 2 15:30 ΕΡΤ Sports 3

Οι αθλητικές μεταδόσεις της ημέρας

Οι τρεις αναμετρήσεις ΑΕΚ-Παναιτωλικός, ΟΦΗ-Πανσερραϊκός και Αστέρας- Καλλιθέα για την 20η αγωνιστική της Super League, οι αγώνες της Basket League και τα ματς από τα κορυφαία πρωταθλήματα ποδοσφαίρου της Ευρώπης ξεχωρίζουν στο πρόγραμμα των αθλητικών μεταδόσεων του Σαββάτου. Αναλυτικά το πρόγραμμα: 12:00 COSMOTE SPORT 6 HD World Athletics Indoor Tour Gold 2025 Αστάνα 14:00 Mega Play Ολυμπιακός – ΠΑΟΚ

BOX: Πώς το food delivery app της Cosmote έφτασε τους 1 εκατ. πελάτες μέσα σε 5 χρόνια

Τα τελευταία χρόνια, η χρήση εφαρμογών delivery έχει γνωρίσει εκρηκτική ανάπτυξη στην Ελλάδα, αλλάζοντας ριζικά τον τρόπο με τον οποίο οι καταναλωτές ψωνίζουν και παραγγέλνουν προϊόντα. Η επιτυχία αυτών των εφαρμογών δεν οφείλεται μόνο στις τεχνολογικές καινοτομίες, αλλά και στην ικανότητά τους να προσαρμόζονται στις ιδιαίτερες ανάγκες της ελληνικής αγοράς. Από φαγητό και καφέ μέχρι

COSMOTE 5G WiFi:Το internet που φτάνει παντού

Νέα υπηρεσία internet με υψηλές ταχύτητες σε κάθε γωνιά της Ελλάδας μέσω δικτύου COSMOTE 5G Γρήγορο σταθερό internet στο σπίτι ή την επιχείρησή τους, όπου κι αν βρίσκονται, από την πόλη μέχρι το πιο απομακρυσμένο χωριό, μπορούν να έχουν οι πελάτες της COSMOTE με τη νέα καινοτόμα υπηρεσία COSMOTE 5G WiFi. Μια αξιόπιστη λύση που

H 30η τελετή απονομής των Critics’ Choice Awards αποκλειστικά στην COSMOTE TV

">Home ΠΑΡΑΣΚΗΝΙΟ ΕΛΛΑΔΑ MEDIA AYTOKINHTO ENGLISH 17:34 | 24 Ιανουαρίου 2025 Media Η 30η τελετή απονομής των Critics' Choice Awards, ένας από τους μεγαλύτερους τηλεοπτικούς θεσμούς παγκοσμίως, που τιμά τους καλλιτέχνες και δημιουργούς στον χώρο του κινηματογράφου και της τηλεόρασης, έρχεται για 4η χρονιά ζωντανά και αποκλειστικά στην COSMOTE TV.  H τελετή απονομής θα μεταδοθεί την Κυριακή 12/1 (ξημερώματα Δευτέρας 13/1) στις 02.00 από το COSMOTE CINEMA  2

Βλαδίμηρος Κυριακίδης: Ο πρωταγωνιστής του «Ριφιφί» στο «Watch Next» της Cosmote TV

ΔΕΛΤΙΟ ΤΥΠΟΥ Τον Βλαδίμηρο Κυριακίδη, ο οποίος πρωταγωνιστεί στο «ΡΙΦΙΦΙ», τη νέα παραγωγή μυθοπλασίας της COSMOTE TV, υποδέχεται απόψε (Παρασκευή 24/1, 20.00, COSMOTE CINEMA 1HD και YouTube κανάλι της COSMOTE TV) το «Watch Next», η πιο cinema friendly εκπομπή της ελληνικής τηλεόρασης με τον Θοδωρή Κουτσογιαννόπουλο. Ο δημοφιλής ηθοποιός μιλά για τη συμμετοχή του στη

Βλαδίμηρος Κυριακίδης: Ο πρωταγωνιστής του «ΡΙΦΙΦΙ» στο «Watch Next» της COSMOTE TV

">Home ΠΑΡΑΣΚΗΝΙΟ ΕΛΛΑΔΑ MEDIA AYTOKINHTO ENGLISH Ο δημοφιλής ηθοποιός μιλά για τη συμμετοχή του στη νέα παραγωγή μυθοπλασίας της COSMOTE TV 15:30 | 24 Ιανουαρίου 2025 Media Τον Βλαδίμηρο Κυριακίδη, ο οποίος πρωταγωνιστεί στο «ΡΙΦΙΦΙ», τη νέα παραγωγή μυθοπλασίας της COSMOTE TV, υποδέχεται απόψε (Παρασκευή 24/1, 20.00, COSMOTE CINEMA 1HD και YouTube κανάλι της COSMOTE

realme C75: Πρεμιέρα για το πιο ανθεκτικό και κομψό smartphone της χρονιάς

Ένα smartphone το οποίο συνδυάζει την κομψότητα με την ανθεκτικότητα και ανταγωνιστική τιμή έκανε το ντεμπούτο του στην ελληνική αγορά. Το realme C75, είναι ένα επαναστατικό smartphone με άνευ προηγουμένου συνδυασμό ανθεκτικότητας, κορυφαίων δυνατοτήτων AI και μπαταρίας μεγάλης διάρκειας και ταχείας φόρτισης, σε έναν κομψό, premium σχεδιασμό, σηματοδοτεί ένα σημαντικό άλμα προς τα εμπρός στην

Βλαδίμηρος Κυριακίδης: Ο πρωταγωνιστής του «ΡΙΦΙΦΙ» στο «Watch Next» της COSMOTE TV

Τον Βλαδίμηρο Κυριακίδη, ο οποίος πρωταγωνιστεί στο «ΡΙΦΙΦΙ», τη νέα παραγωγή μυθοπλασίας της COSMOTE TV, υποδέχεται απόψε (Παρασκευή 24/1, 20.00, COSMOTE CINEMA 1HD και YouTube κανάλι της COSMOTE TV) το «Watch Next», η πιο cinema friendly εκπομπή της ελληνικής τηλεόρασης με τον Θοδωρή Κουτσογιαννόπουλο. Ο δημοφιλής ηθοποιός μιλά για τη συμμετοχή του στη νέα παραγωγή

Όταν το κινητό γίνεται ο προσωπικός ΑΙ βοηθός μας

Τι νέο έρχεται στην αγορά των smartphones. Ζούμε σε μια εποχή όπου τα κινητά έχουν γίνει προέκταση του εαυτού μας, και όσο τα «έξυπνα» τηλέφωνα εξελίσσονται και αναβαθμίζονται, τόσο πιο έντονα επηρεάζεται  η καθημερινότητά μας.  Μπορεί να ξεκίνησαν ως απλά εργαλεία επικοινωνίας, για να κάνουμε μια κλήση ή να στείλουμε ένα γραπτό μήνυμα, ωστόσο, σήμερα

Στη μαγευτική Πράγα, η Xiaomi αποκάλυψε το αύριο της τεχνολογίας

Η πλατεία της Παλιάς Πόλης ήταν το σημείο εκκίνησης για την εξερεύνηση της Πράγας, μιας από τις ωραιότερες και πιο γραφικές ευρωπαϊκές πόλεις, που σε κάνει να μην θέλεις να σταματήσεις να περπατάς για να χαζέψεις κάθε γωνιά της, ακόμα και αν το θερμόμετρο δείχνει υπό το μηδέν. Μια πόλη – μουσείο με αμέτρητα αξιοθέατα

Share

Του Ori Abramovsky 

Highlights: 

  • Η CloudGuard Spectralops εντόπισε έναν κακόβουλο λογαριασμό phishing στο PyPI, το κορυφαίο ευρετήριο πακέτων Python.  
  • Οι χρήστες που εγκατέστησαν τα πακέτα του λογαριασμού εκτέθηκαν σε έναν κακόβουλο δράστη, πιθανότατα έναν κλέφτη PII. 
  • Με τον εντοπισμό τους ειδοποιήσαμε το PyPI σχετικά με αυτά τα πακέτα. Αμέσως μετά αυτά αφαιρέθηκαν από την ομάδα του PyPI.

Εισαγωγή

Το PyPI (Python Package Index) είναι το επίσημο αρχείο πακέτων λογισμικού για τη γλώσσα προγραμματισμού Python. Πρόκειται για μια κεντρική πλατφόρμα όπου οι προγραμματιστές της Python μπορούν να βρίσκουν, να εγκαθιστούν και να μοιράζονται πακέτα Python ανοικτού κώδικα. Το PyPI λειτουργεί από το Python Software Foundation (PSF) και είναι προσβάσιμο μέσω του προγράμματος εγκατάστασης πακέτων pip, το οποίο περιλαμβάνεται στις περισσότερες εγκαταστάσεις της Python. Οι χρήστες μπορούν να αναζητήσουν πακέτα με βάση το όνομα ή τη λέξη-κλειδί και μπορούν να κατεβάσουν και να εγκαταστήσουν πακέτα με μία μόνο εντολή. Το PyPI φιλοξενεί χιλιάδες πακέτα Python ανοικτού κώδικα, που κυμαίνονται από βιβλιοθήκες για επιστημονικούς υπολογισμούς και ανάλυση δεδομένων, μέχρι πλαίσια για ανάπτυξη ιστοσελίδων και μηχανική μάθηση. Οποιοσδήποτε μπορεί να ανεβάσει ένα πακέτο στο PyPI, αρκεί να πληροί ορισμένες απαιτήσεις και κατευθυντήριες γραμμές που έχουν τεθεί από το PSF. Το PyPI έχει γίνει ένα βασικό εργαλείο για την κοινότητα της Python, επιτρέποντας στους προγραμματιστές να ανακαλύπτουν και να χρησιμοποιούν εύκολα πακέτα τρίτων και ενθαρρύνει τη συνεργασία και την ανταλλαγή μεταξύ των προγραμματιστών Python παγκοσμίως. Πολλά δημοφιλή πλαίσια και εργαλεία Python, όπως το Django, το Flask και το Pandas, είναι διαθέσιμα στο PyPI, μαζί με ένα τεράστιο φάσμα άλλων πακέτων για διάφορους σκοπούς, καθιστώντας το έναν κρίσιμο πόρο για τους προγραμματιστές στο οικοσύστημα της Python.

Η Επίθεση

Είναι σημαντικό να σημειωθεί ότι οι κακόβουλοι δράστες δεν περιμένουν, και βλέπουμε συνεχώς νέες τεχνικές και στρατηγικές με τις οποίες προσπαθούν να κρύψουν την κακόβουλη πρόθεσή τους (από τη χρήση Στεγανογραφίας, μέχρι κρυπτο-πειρατές που καταλαμβάνουν το σύστημα εγκατάστασης για να εξορύξουν κρυπτογραφικό νόμισμα για το κέρδος τους). Τα κακόβουλα πακέτα που εντοπίσαμε καταδεικνύουν πως το phishing είναι ένα ακόμη εργαλείο που χρησιμοποιούν οι επιτιθέμενοι για να κρύψουν την πρόθεσή τους. Χρησιμοποιώντας τα μοντέλα μηχανικής μάθησης που διαθέτουμε, καταφέραμε να εντοπίσουμε αυτά τα κακόβουλα πακέτα στο PyPI. Ενώ προσποιούνταν ότι είναι βοηθητικά προγράμματα που σχετίζονται με το async-io, αυτά τα πακέτα αποδείχθηκαν κακόβουλοι παράγοντες- κατέβαζαν και εκτελούσαν κρυφά συγκεκαλυμμένο κώδικα ως μέρος της διαδικασίας εγκατάστασής τους. Επιπλέον, ο επιτιθέμενος δημοσίευσε μερικές εκδόσεις του ίδιου πακέτου με μικρές τροποποιήσεις, πιθανώς επαναλαμβάνοντας προς μια έκδοση που θα είναι λιγότερο ορατή σε όσους κυνηγούν κακόβουλα πακέτα στο PyPI. Πολλές λεπτομέρειες για τα πακέτα που εντοπίστηκαν είναι μπροστά.

Η Επίθεση σε λεπτομέρεια

Το πρώτο πακέτο που τράβηξε την προσοχή μας ήταν το  aiotoolsbox; Ενώ φαινόταν καλοήθες με την πρώτη ματιά, αποδείχθηκε ότι ήταν ένα ακριβές αντίγραφο του νόμιμου πακέτου  aiotools. Είναι σημαντικό να σημειωθεί ότι ενώ το typosquating (η χρήση ονομάτων πακέτων που μοιάζουν με δημοφιλή καλοήθη πακέτα προκειμένου να ξεγελάσουν τους χρήστες και να εγκαταστήσουν τα κακόβουλα) είναι μια αρκετά συνηθισμένη επίθεση στον κόσμο της εφοδιαστικής αλυσίδας, το ταυτόσημο αντίγραφο του καλοήθους πακέτου είναι μια λιγότερο συνηθισμένη πρακτική (για τις περισσότερες περιπτώσεις αρκεί η μίμηση του ονόματος του πακέτου) και είναι γενικά κάτι που βλέπουμε περισσότερο στον κόσμο του phishing. Μια τέτοια προσπάθεια μπορεί να υποδηλώνει μια πιο εξελιγμένη εκστρατεία, λαμβάνοντας υπόψη ότι οι εγκαταστάτες ενδέχεται να ρίχνουν μια δεύτερη ματιά στα πακέτα που πρόκειται να εγκαταστήσουν (είναι ενδιαφέρον ότι παρόμοια κακόβουλη εκστρατεία είχε εντοπιστεί στο παρελθόν από τα μοντέλα μηχανικής μάθησης που διαθέτουμε).

Κοιτάζοντας τα μεταδεδομένα των πακέτων, και τα δύο έχουν τον ίδιο συγγραφέα ενώ έχουν διαφορετικό συντηρητή. Βασιζόμενοι στο γεγονός ότι σύμφωνα με το πρωτόκολλο δημοσίευσης των πακέτων PyPI τα πεδία του συγγραφέα είναι ελεύθερου κειμένου ενώ ο συντηρητής είναι ένας πιστοποιημένος χρήστης, ο επιτιθέμενος μπορούσε εύκολα να μιμηθεί το πεδίο του συγγραφέα ενώ για τα πεδία του συντηρητή έπρεπε να βασιστεί σε κάτι άλλο.

Το καλοήθες πακέτο aiotools τα στοιχεία των συνεισφερόντων δίπλα στο κακόβουλο aiotoolsbox

Σύμφωνα με τα στοιχεία του συντηρητή του aiotoolsbox, είναι συνεργάτες του PyPI από το 2019. Δεδομένου του γεγονότος ότι τα δύο μόνο πακέτα που έχουν δημοσιεύτηκαν πρόσφατα, είναι δίκαιο να υποθέσουμε ότι αυτός ο λογαριασμός παραβιάστηκε πρόσφατα.

 Εξετάζοντας τον κώδικα εγκατάστασης του aiotoolsbox περιλαμβάνει ένα παράξενο κομμάτι που ως μέρος της διαδικασίας εγκατάστασης, κατεβάζει ένα zip από το διαδίκτυο, το εξάγει, το εκτελεί και τελικά διαγράφει το περιεχόμενό του.

Το πρώτο ενδιαφέρον σημείο εδώ είναι το γεγονός ότι το zip κατεβαίνει από έναν διακομιστή που υποτίθεται ότι είναι ο ‘files.pythonhosted.org’. Αυτό αποδεικνύεται ότι είναι το δεύτερο επίπεδο phishing της επίθεσης, καθώς ο διακομιστής προσπαθεί να κρυφτεί ως ο επίσημος ιστότοπος φιλοξενίας πακέτων PyPI.

Ένα άλλο ενδιαφέρον σημείο είναι το όνομα του αρχείου που κατεβάζετε, το οποίο αντιστοιχεί στη χρησιμοποιούμενη έκδοση της python, δηλαδή για παράδειγμα κάποιος που χρησιμοποιεί python 3.9 θα λάβει ένα zip με το όνομα 39.zip. Αυτό φαίνεται να είναι ένα άλλο επίπεδο συσκοτίσεως του phishing, κάνοντας τον κοινό χρήστη να υποθέσει ότι πρόκειται για κάτι νόμιμο που βλέπει, πιθανώς κάποιο είδος εσωτερικής ροής του pip.

Εξετάζοντας το zip που κατέβηκε, συμπεριέλαβε έναν κώδικα με pyArmor, ο οποίος καθιστά δύσκολο να κατανοήσουμε σαφώς την κακόβουλη πρόθεσή του. Παρ’ όλα αυτά, κοιτάζοντας τα ονόματα των αρχείων που κατεβάστηκαν, είναι δίκαιο να υποθέσουμε ότι το πακέτο είναι ένας κλέφτης PII, που σκοπεύει να συλλέξει και να κλέψει τα μυστικά του εγκαταστάτη. Δεδομένου του γεγονότος ότι αυτό το zip κατέβηκε κρυφά κατά τη διάρκεια της διαδικασίας εγκατάστασης, μπορούμε να συμπεράνουμε ότι δεν πρόκειται για μια καλοήθη περίπτωση.

Επανεξετάζοντας τη δομή του πακέτου aiotoolsbox, εκτός από το setup.py που αναφέρθηκε, τα υπόλοιπα αρχεία φαίνεται να προέρχονται από το καλοήθες πακέτο aiotools, κάνοντας τον κοινό χρήστη να λαμβάνει τις βασικές λειτουργίες που αναζητούσε, χωρίς να γνωρίζει ότι μόλις εγκατέστησε ένα κακόβουλο πακέτο.  

Ψάχνοντας για τις προηγούμενες εκδόσεις του aiotoolsbox μπορούμε να παρατηρήσουμε με ενδιαφέρον ότι ανέβηκε μερικές φορές με διαφορετικές εκδόσεις (πρώτα 1.4.7 και μόνο μετά 1.4.5 και 1.4.6).

Εξετάζοντας τη διαφορά μεταξύ αυτών των εκδόσεων αποδείχθηκε ότι είχαν την ίδια δομή, ενώ η μόνη διαφορά ήταν στο αρχείο setup.py και πιο συγκεκριμένα στην IP του διακομιστή που χρησιμοποιούν. Ελέγχοντας τα στοιχεία της IP η αρχική έκδοση ήταν μια ρωσική IP ενώ η μεταγενέστερη ήταν από τη Γερμανία. Πιθανώς και πάλι ένα άλλο επίπεδο συσκοτισμού, θεωρώντας ότι μια ρωσική IP θα είναι πιο ανησυχητική από μια γερμανική. Τέλος, εξετάζοντας το άλλο πακέτο του λογαριασμού – το async-proxy, στο αρχείο setup.py αναφέρει το aiotoolsbox ως τη μόνη του απαίτηση, κάνοντας όποιον το εγκαταστήσει να εγκαταστήσει και το κακόβουλο aiotoolsbox