Duizenden malafide packages geüpload naar Python Package Index

[Captain Kirk]

De afgelopen dagen heeft iemand duizenden malafide packages naar de Python Package Index geüpload, met daarin een boodschap die voor supply-chain-aanvallen waarschuwt. Daarnaast werden in de npm-registry meerdere malafide packages ontdekt die informatie van gebruikers probeerden te stelen.

Python is een populaire programmeertaal en PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Bij de nu waargenomen aanval op PyPI maakte de aanvaller gebruik van nog niet geclaimde namen van allerlei populaire packages. Eén van die packages was CuPy. De ontwikkelaars van deze software waren van plan om een package met de naam "cupy-cuda112" uit te brengen, maar deze naam werd door de aanvaller geclaimd. Die uploadde vervolgens zijn "cupy-cuda112" naar PyPI.

In totaal werden er bijna 3600 van dergelijke packages waargenomen. Deze packages bieden geen enkele functionaliteit. Bij het uitvoeren wordt er een request naar een bepaald ip-adres doorgestuurd. Mogelijk gaat het hier om een beveiligingsonderzoeker die zo wil zien hoeveel mensen zijn packages hebben geïnstalleerd. Dat het mogelijk om onderzoek gaat blijkt uit een boodschap die de packages bevatten: "the purpose is to make everyone pay attention to software supply chain attacks, because the risks are too great."

Vorige maand maakte onderzoeker Alex Birsan bekend hoe hij Apple, Microsoft en tientallen andere techbedrijven via slimme package-namen had gecompromitteerd. Deze bedrijven maken voor hun projecten en softwareontwikkeling vaak gebruik van interne packages. Birsan wist de namen van deze interne packages te achterhalen en registreerde die vervolgens bij publieke respositories zoals PyPI en het npm-registry. Hierdoor kan het gebeuren dat een ontwikkelaar de verkeerde package installeert, waardoor een aanvaller toegang tot de ontwikkelmachine krijgt.

Naast PyPI had Birsan ook succes met de npm-registry. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. Kort na het onderzoek van Birsan verschenen er honderden soortgelijke packages in de npm-registry. Recentelijk werden er ook enkele packages ontdekt die de bash-geschiedenis en het bestand etc/schadow proberen te stelen en in sommige gevallen een reverse shell openen, meldt securitybedrijf Sonatype.

 

bron: https://www.security.nl