Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

В библиотеки языка Python внедрили хакерское ПО, ворующее ключи к облаку Amazon

Эксперты выявили несколько вредоносных пакетов, которые крали и выводили на общедоступный ресурс реквизиты доступа к облакам Amazon Web Services. Кто и зачем это делал, неизвестно.

Ключи от облака

Исследователи обнаружили в официальном стороннем репозитории языка Python набор вредоносных пакетов, которые способны красть ключи доступа к облачным ресурсам Amazon Web Servicesи переменные окружения и выводить эти данные на внешний общедоступный эндпойнт.

Эксперт компании Sonatype Акс Шарма (Ax Sharma) обнаружил пять таких пакетов: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.

Проанализировав эти пакеты, два других исследователя Sonatype, Хорхе Кардона (Jorge Cardona ) и Карлос Фернандес (Carlos Fern?ndez) выяснили, что они содержат код, который сам считывает и выводит конфиденциальные данные или использует те или иные зависимости для осуществления этой операции.

Шарма указывает, что первые два пакета, очевидно, нацелены на пользователей легитимных библиотек loglib и pyg. Pygrata-utils содержит код, идентичный loglib-modules. На кого нацелены два других пакета, неизвестно.

amazon_600.jpg
В репозиторий для Python внедрили хакерское ПО, ворующее ключи к облаку Amazon

Любопытно, что все украденные данные размещаются без всякого шифрования в виде файлов .TXT на общедоступном эндпойнте (какого рода, не указано; это может быть сервер, это может быть обычный ПК). То есть, фактически оказываются в открытом доступе.

Акс Шарма задается вопросом, было ли это сделано по ошибке, или же авторы вредоносных пакетов специально выкладывают все в общий доступ с демонстрационными целями.

Информация о вредоносных пакетах была передана в PyPI, и они быстро исчезли из репозитория. Эндпойнт, на который выгружали украденные данные, также исчез из Сети.

Демонстрация?

Подобные случаи уже наблюдались: турецкий специалист по информбезопасности Юнус Айдин (Yunus Ayd?n) разместил в одном из репозиториев троянизированные пакеты Python и PHP. Это было сделано, как он утверждал, исключительно для того, чтобы показать, как легко атаковать разом более 10 млн пользователей и компаний.

Аналогично этому сотрудники немецкой фирмы Code White, специализирующейся на пентестинге, подгрузили в NPM-репозиторий вредоносные пакеты, чтобы сымитировать продвинутую кибератаку через цепочку поставок на крупные организации. Среди потенциальных жертв оказались Bertelsmann, Bosch, Stihl и DB Schenker.

«Кибератаки через цепочки поставок — самая, пожалуй, опасная разновидность угроз уже просто в силу масштабов: подмена содержимого популярной библиотеки или компонента может угрожать разом неограниченному количеству пользователей любых размеров, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В случае с вредоносными пакетами Python пока не ясно, кто и зачем это сделал. Но вполне вероятно, что это действительно была демонстрация. Возможно, не предполагавшая публичности».