- 9,447
- 18
- 8 Ноя 2022
Эпидемия вредоносных пакетов ставит под вопрос безопасность цепочки поставок.
В рамках Для просмотра ссылки Войдиили Зарегистрируйся специалистов безопасности из ReversingLabs в репозитории Python Package Index ( PyPI ) были обнаружены два вредоносных пакета, которые использовали технику DLL Sideloading для обхода детектирования антивирусными программами и запуска вредоносного кода.
Пакеты, названные NP6HelperHttptest и NP6HelperHttper, были загружены пользователями 537 и 166 раз соответственно, прежде чем были удалены из репозитория. Эти цифры свидетельствуют о том, что даже недолговечные вредоносные пакеты могут найти своих жертв среди разработчиков.
Вредоносные пакеты имитируют названия легитимных инструментов от ChapsVision, используемых для автоматизации маркетинга. Эта техника, имеющая название Typosquatting , весьма популярна среди злоумышленников, нацеленных на пакетные репозитории.
В составе обоих пакетов находится скрипт «setup.py», который запускает загрузку двух файлов: законного исполняемого файла от компании Kingsoft («ComServer.exe»), уязвимого к DLL Sideloading, и вредоносного DLL («dgdeskband64.dll»). Используемая техника отличается высокой степенью скрытности.
Целью вредоносного DLL является обращение к домену, контролируемому атакующими для загрузки файла, маскирующегося под GIF. На самом деле, это шелл-код для Beacon — инструмента, широко используемого в кибератаках после первоначальной компрометации системы и позволяющего выполнять ряд вредоносных действий, включая сбор данных, перемещение по сети и установку дополнительных инструментов.
Исследователи ReversingLabs считают, что выявленные пакеты являются частью более масштабной кампании, направленной на распространение подобных вредоносных исполняемых файлов, что подчёркивает необходимость бдительности со стороны разработчиков и организаций.
Эксперты подчеркнули, что организациям, занимающимся разработкой, крайне важно осознавать угрозы, связанные с безопасностью цепочки поставок и использованием открытых репозиториев пакетов.
Необходимо в обязательном порядке тщательно проверять исходный код и зависимости, а также предусмотреть дополнительные меры мониторинга и безопасности, чтобы вовремя среагировать и обезопасить свои системы, если заражение всё же имело место быть.
Укрепление кибербезопасности и борьба с угрозами в цепочке поставок программного обеспечения остаются ключевыми задачами для организаций и разработчиков на сегодняшний день.
В рамках Для просмотра ссылки Войди
Пакеты, названные NP6HelperHttptest и NP6HelperHttper, были загружены пользователями 537 и 166 раз соответственно, прежде чем были удалены из репозитория. Эти цифры свидетельствуют о том, что даже недолговечные вредоносные пакеты могут найти своих жертв среди разработчиков.
Вредоносные пакеты имитируют названия легитимных инструментов от ChapsVision, используемых для автоматизации маркетинга. Эта техника, имеющая название Typosquatting , весьма популярна среди злоумышленников, нацеленных на пакетные репозитории.
В составе обоих пакетов находится скрипт «setup.py», который запускает загрузку двух файлов: законного исполняемого файла от компании Kingsoft («ComServer.exe»), уязвимого к DLL Sideloading, и вредоносного DLL («dgdeskband64.dll»). Используемая техника отличается высокой степенью скрытности.
Целью вредоносного DLL является обращение к домену, контролируемому атакующими для загрузки файла, маскирующегося под GIF. На самом деле, это шелл-код для Beacon — инструмента, широко используемого в кибератаках после первоначальной компрометации системы и позволяющего выполнять ряд вредоносных действий, включая сбор данных, перемещение по сети и установку дополнительных инструментов.
Исследователи ReversingLabs считают, что выявленные пакеты являются частью более масштабной кампании, направленной на распространение подобных вредоносных исполняемых файлов, что подчёркивает необходимость бдительности со стороны разработчиков и организаций.
Эксперты подчеркнули, что организациям, занимающимся разработкой, крайне важно осознавать угрозы, связанные с безопасностью цепочки поставок и использованием открытых репозиториев пакетов.
Необходимо в обязательном порядке тщательно проверять исходный код и зависимости, а также предусмотреть дополнительные меры мониторинга и безопасности, чтобы вовремя среагировать и обезопасить свои системы, если заражение всё же имело место быть.
Укрепление кибербезопасности и борьба с угрозами в цепочке поставок программного обеспечения остаются ключевыми задачами для организаций и разработчиков на сегодняшний день.
- Источник новости
- www.securitylab.ru
