In un recente rapporto i ricercatori di sicurezza di Phylum parlano di un attacco alla catena di approvvigionamento in cui gli sviluppatori Python risultano essere gli obiettivi diretti. Tramite una campagna typosquatting verrebbero distribuiti pacchetti malevoli allo scopo di installare degli script che sostituiscono gli indirizzi di criptovaluta degli sviluppatori.
“I pacchetti presi di mira in questa campagna vengono scaricati oltre 29 milioni di volte al giorno: un potenziale raggio di esplosione significativo per l’attaccante, che offre una grande opportunità per sfruttare gli errori di battitura degli sviluppatori !” commenta Louis Lang CTO Phylum.
Ecco l’elenco dei pacchetti incriminati:
baeutifulsoup4
beautifulsup4
cloorama
cryptograpyh
crpytography
djangoo
hello-world-exampl
hello-world-example
ipyhton
mail-validator
mariabd
mysql-connector-pyhton
notebok
pillwo
pyautogiu
pygaem
pytorhc
python-dateuti
python-flask
python3-flask
pyyalm
rqeuests
slenium
sqlachemy
sqlalcemy
tkniter
urlllib
Cosa accade
Dopo l’installazione di uno di questi pacchetti, un file Javascript (offuscato) viene rilasciato nel sistema ed eseguito in background durante la sessione di navigazione web grazie a un semplice meccanismo di persistenza che garantisce che il payload dannoso venga eseguito all’apertura di uno di questi browser: Chrome, Edge e Brave.
Il deoffuscamento dello script avrebbe consentito ai ricercatori di analizzarne l’implementazione. L’algoritmo ricostruito procederebbe pertanto a:
- Creare una “textarea“;
- incollare qualsiasi contenuto degli appunti su di essa;
- utilizzare una serie di espressioni regolari per cercare formati di indirizzi di criptovaluta comuni (ET, BTC, BNB, LTC, TRX);
- sostituire nella “textarea” creata in precedenza tutti gli indirizzi identificati con gli indirizzi controllati dall’attaccante;
- sovrascrivere gli appunti con il contenuto della “textarea“;
Qualora la vittima copiasse un indirizzo wallet, lo script in tal modo sostituirebbe l’indirizzo con uno controllato dall’attaccante:
ET: 0x18c36eBd7A5d9C3b88995D6872BCe11a080Bc4d9
BTC: bc1qqwkpp77ya9qavyh8sm8e4usad45fwlusg7vs5v
BNB: bnb1cm0pllx3c7e902mta8drjfyn0ypl7ar4ty29uv
LTC: LPDEYUCna9e5dYaDPYorJBXXgc43tvV9Rq
TRX: TWStXoQpXzVL8mx1ejiVmkgeUVGjZz8LRx
L’utente finale inconsapevolmente invierà così i propri fondi all’attaccante.
Richiesta collaborazione alla community
Phylum presuppone che, sebbene i pacchetti dannosi siano stati segnalati, il numero di download e il conteggio dei pacchetti potrebbero continuare ad aumentare.
Per contrastare attacchi alla catena di approvvigionamento di questo tipo, la società sta lavorando su una soluzione open source disponibile gratuitamente su GITHUB che esegue il sandboxing delle installazioni di pacchetti (Birdcage) e resta in attesa di accogliere con favore ulteriori contributi e idee dalla community.
