Un pacchetto Python dannoso, denominato “onyxproxy”, è stato scoperto sulla piattaforma PyPI e utilizza Unicode come tecnica di offuscamento per eludere il rilevamento, mentre ruba e sottrae le credenziali degli sviluppatori e altri dati sensibili dai dispositivi compromessi. La scoperta di onyxproxy è stata fatta dai specialisti in cybersecurity di Phylum, che hanno pubblicato un rapporto in merito.
Sfruttamento di Unicode nel malware Python
Il pacchetto onyxproxy sfrutta una combinazione di diversi font Unicode nel codice sorgente per eludere le scansioni automatiche e le difese che identificano le funzioni potenzialmente dannose basate sulla corrispondenza delle stringhe. Il pacchetto è stato rimosso da PyPI, ma fino al suo ritiro ha registrato 183 download.
L’abuso di Unicode in Python
Unicode è uno standard di codifica dei caratteri che comprende una vasta gamma di script e lingue e unifica vari insiemi/schemi sotto un unico standard che copre oltre 100.000 caratteri. Tuttavia, la possibilità di utilizzare caratteri Unicode per gli identificatori in Python può essere sfruttata per nascondere corrispondenze di stringhe dannose e rendere il codice apparentemente innocuo mentre esegue comportamenti dannosi.
Nel caso di onyxproxy, gli autori hanno utilizzato identificatori come “import“, “subprocess” e “CryptUnprotectData”, che sono più grandi e hanno un gran numero di varianti, eludendo facilmente le difese basate sulla corrispondenza delle stringhe.
Preoccupazioni sulla sicurezza legate ad Unicode
L’uso di Unicode in Python è stato oggetto di ampie discussioni nella comunità degli sviluppatori Python. Alcuni ricercatori e sviluppatori hanno avvertito che il supporto Unicode in Python renderà il linguaggio di programmazione vulnerabile a una nuova classe di exploit di sicurezza, rendendo più difficile l’ispezione dei codici e delle patch sottomesse.
Nel novembre 2021, ricercatori accademici presentarono un attacco teorico chiamato “Trojan Source” che utilizzava caratteri di controllo Unicode per iniettare vulnerabilità nel codice sorgente, rendendo più difficile per i revisori umani rilevare tali iniezioni dannose. Di conseguenza, è necessario implementare meccanismi di rilevamento più robusti contro queste minacce emergenti.