PYPI paketleri '' Pyanxdns ',' API-RES-PY'nin bazı sürümlerde kötü niyetli 'istek' bağımlılığı varlığı nedeniyle bir arka kapı içerdiği bulunmuştur.
Örneğin, 'Keep' projesinin çoğu sürümü, HTTP istekleri yapmak için meşru Python modülü isteklerini kullanırken, 'Keep' v.1.2 kötü amaçlı yazılım olan 'isteği' (s olmadan) içerir.
BleepingComputer, bunun sadece tipografik bir hata, kendi kendine sabote veya bakım hesaplarının kaçırılmasından kaynaklanıp kaynaklanmadığını anlamak için bu paketlerin her birinin yazarlarına ulaştı.
PYPI paketlerinin bazı sürümleri, 'Keep', '' Pyanxdns 've' API-RES-PY 'kötü niyetli bir bağımlılık,' istek, 'kullanılarak yakalandı.
Mayıs ayında Github kullanıcısı Duxinglin1, savunmasız sürümlerin meşru istekler kütüphanesinin aksine yanlış yazılmış 'istek' bağımlılığı içerdiğini fark etti.
Bu nedenle, savunmasız sürümlerle ilgili olarak bu hafta aşağıdaki CVE'ler atandı:
'PyanXDNS' ve 'API-RES-PY' küçük ölçekli projeler olsa da, özellikle 'Keep' paketi, ortalama 8.000'den fazla kez indirilir-sürüm 1.2 ile kötü niyetli bağımlılık kullanarak:
2020'de Tencent Soğan Anti-İntrasyon Sistemi, PYPI Kayıt Defterine HTTP kütüphanesini taklit eden ancak bunun yerine kötü niyetli info-yöneticileri bırakan kötü niyetli bir yazım hatası 'isteği' keşfetti.
"Bu projenin 1.2 sürümünde kötü niyetli bir arka kapı bulduk ve kötü niyetli arka kapısı istek paketidir. İstek paketi PYPI tarafından kaldırılmış olsa bile, birçok ayna sitesi bu paketi tamamen silmedi, bu yüzden hala yüklenebilir," Github kullanıcısı Duxlin1 yazıyor.
Sahte 'isteği' içindeki kötü amaçlı kod aşağıda vurgulanmıştır:
Satır 57, aşağıda gösterilen 'check.so' kötü amaçlı yazılımlara baz64 kodlu bir URL içerir. Tehdit Intel analisti Blackorbird ayrıca, sahte 'istek' bağımlılığı ile ilişkili olarak aşağıda da gösterilen başka bir URL (x.pyx) tanımladı:
'Check.so' dosyası, BleepingComputer tarafından elde edilen 'x.pyx', Chrome, Firefox, Yandex, Brave ve gibi web tarayıcılarından çerezleri ve kişisel bilgileri çalan info-yönetici kötü amaçlı yazılım içerir. daha fazlası:
Info-Redinging Trojan, web tarayıcılarında depolanan giriş adlarını ve şifreleri çalmaya çalışacaktır.
Kullanıcı kimlik bilgilerine erişim sağladıktan sonra, tehdit aktörleri daha sonra geliştirici tarafından kullanılan diğer hesapları tehlikeye atmaya çalışabilir ve potansiyel olarak daha fazla tedarik zinciri saldırılarına yol açabilir.
Birden fazla PYPI paketinde kötü niyetli bir bağımlılığın varlığı önemli bir soruyu gündeme getiriyor - bu nasıl oldu?
BleepingComputer, bunun sadece tipografik bir hata, kendi kendine sabote veya bakım hesaplarının kaçırılmasından kaynaklanıp kaynaklanmadığını anlamak için bu paketlerin her birinin yazarlarına ulaştı.
Bunun bir hesap uzlaşmasından ziyade tipografik bir hatadan kaynaklandığını doğrulayan 'Pyanxdns' Marky Egebäck'ın yazarından ve bakıcısından haber aldık.
Ve görünüşe göre, diğer iki paketin yazarlarının, masum bir yazma hatası nedeniyle meşru 'isteklerin aksine' istek 'de yanlışlıkla' istek 'tanıttığı görülmektedir.
Egebäck, "Setup.py dosyasındaki basit bir yazım hatası tarafından söylediğim için üzgünüm.
Geliştirici o zamandan beri Pypi'ye yeni bir sürümü yeniden oluşturdu ve kötü amaçlı "istek" bağımlılığına atıfta bulunarak sürümü sildi.
"Bu, setup.py'deki bir yazım hatasına dayanan dürüst bir hataydı. Genellikle Pypi'de bir şeyler yayınlamıyorum ama bunu bir arkadaş ve kendim için hızlı bir şekilde yaptım. Bunu teşvik edip etmediğinden emin değilim ama amaç esas olarak Egebäck [bir Dahili Docker projesinde kişisel kullanım için ”diyor Egebäck.
Egebäck, GitHub kullanıcısı Duxlin1'i projesinde kötü niyetli bağımlılığın varlığını vurguladığı için takdir etti ve son zamanlarda katkıda bulunan Python projesini korumak için nasıl fazla zaman harcadığını açıkladı:
Egebäck, "Tabii ki çok daha iyi yapılabilir olan şey bunu daha önce düzeltmişti, ancak bunun şiddetini anlamıyordu ve kodlama ile ne yazık ki [günümüzde] çok az zaman koyduğumdan beri uzun zaman aldı" diyor Egebäck.
Kodlama uygulamaları sırasında, geliştiricinin kısmına masum yazma hataları, daha geniş yazılım tedarik zincirini tehlikeye atmak için bu tür kesin kaymalara güvenen yazım hatalarına yanlışlıkla başarı sağlayabilir.
Bu durumda, kötü amaçlı 'istek' bağımlılığı PYPI kayıt defterinden uzun zamandır kaldırılmış olsa da, PYPI paketlerinin savunmasız bir sürümünü kullanan ve bağımlılıkları almak için bir aynaya güvenen herkes sistemlerinde kötü niyetli bilgi kullanıcılarıyla sonuçlanabilir.
Popüler Python ve PHP kütüphaneleri AWS anahtarlarını çalmak için kaçırıldı
Hacker, kütüphaneleri kaçırma, AWS anahtarlarını çalmak etik araştırmalar olduğunu söylüyor
Açık Kaynak 'Paket Analizi' Aracı Kötü niyetli NPM, PYPI Paketleri Bulur
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Taşlarınızı Kontrol Edin: Rubygems Yetkisiz Paket Takip Hatası Düzeltiyor
Kaynak: Bleeping Computer