ESET Het onderzoek ontdekte een reeks kwaadaardige Python-projecten die werden verspreid via PyPI, de officiële Python-pakketrepository. De dreiging richt zich op Windows- en Linux-systemen en biedt doorgaans een op maat gemaakte achterdeur met cyberspionagemogelijkheden. Het maakt het uitvoeren van opdrachten op afstand mogelijk, het filteren van bestanden en soms de mogelijkheid om schermafbeeldingen te maken. In sommige gevallen is de uiteindelijke lading een variant van de beruchte W4SP Stealer, die persoonlijke gegevens en inloggegevens steelt, een eenvoudig portemonneescherm om cryptocurrency te stelen, of beide. ESET heeft 116 bestanden (brondistributies en wheels) in 53 projecten gedetecteerd die malware bevatten. Het afgelopen jaar hebben slachtoffers deze bestanden meer dan 10.000 keer gedownload. Vanaf mei 2023 ligt de downloadsnelheid rond de 80 per dag.
PyPI is erg populair onder Python-programmeurs voor het delen en downloaden van code. Omdat iedereen kan bijdragen aan de repository, kan malware – die soms verschijnt als legitieme, algemene codebibliotheken – de kop opsteken. “Sommige kwaadaardige pakketnamen klinken vergelijkbaar met andere legitieme pakketten, maar we zijn van mening dat de belangrijkste manier waarop ze door potentiële slachtoffers worden geïnstalleerd niet door typosquatting is, maar door social engineering, waarbij ze passeren door de pip te activeren om een 'interessant' pakket te installeren voor wat dan ook. reden.”, zegt ESET-onderzoeker Marc-Etienne Léville, die de kwaadaardige pakketten ontdekte en analyseerde.
De meeste pakketten zijn op het moment van publicatie van dit artikel al door PyPI verwijderd. ESET heeft contact opgenomen met PyPI om actie te ondernemen tegen de overgebleven personen; Momenteel zijn alle bekende kwaadaardige pakketten offline.
ESET merkte op dat de operators achter deze campagne drie technieken gebruiken om kwaadaardige code in Python-pakketten te verpakken. De eerste benadering is om een ”test”-module met enigszins obscure code in het pakket te plaatsen. De tweede benadering is om PowerShell-code op te nemen in het setup.py-bestand, dat meestal automatisch wordt uitgevoerd door pakketbeheerders zoals pip om Python-projecten te helpen installeren. Bij de derde benadering doen operators geen moeite om legitieme code in het pakket op te nemen, dus er is alleen kwaadaardige code, in een enigszins obscure vorm.
De uiteindelijke lading is meestal een aangepaste achterdeur die op afstand opdrachten kan uitvoeren, bestanden kan extraheren en soms de mogelijkheid heeft om schermafbeeldingen te maken. Op Windows is de achterdeur geïmplementeerd in Python. In Linux is de achterdeur geïmplementeerd in de programmeertaal Go. In sommige gevallen wordt in plaats van een achterdeur een vorm van de beruchte W4SP Stealer gebruikt, wordt een eenvoudig portemonneescherm gebruikt om cryptocurrency te stelen, of beide. Het portemonneescherm is gericht op cryptocurrencies zoals Bitcoin, Ethereum, Monero en Litecoin.
“Python-ontwikkelaars moeten de code die ze downloaden inspecteren voordat ze deze op hun systemen installeren. We verwachten dat het misbruik van PyPI zal voortduren en adviseren voorzichtigheid bij het installeren van code uit een openbare softwareopslagplaats”, besluit Léveillé.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”