В последните години се говори много за т.нар. „атаки към веригите за доставка“. Този тип инциденти нанасят далеч по-големи щети от преките атаки към потребителя и са изключително трудни за проактивно засичане – за тях разбираме най-често след осъществяването им. По този начин престъпници си осигуряват с компрометирането на една-единствена точка, достъпа до стотици, хиляди, а понякога и милиони цели, които не подозират, че приложението или апликацията, на която имат доверие се явява заплаха за сигурността им. Последната новина, свързана с този тип атака дойде в края на миналата година, след като стана ясно, че извънредно популярна Java библиотека крие критична уязвимост, позволяваща изпълнението на зловреден код по отдалечен път. Става дума за Log4j – апликационно-програмен интерфейс, спомагащ за запис на дейностите в приложенията с над 80 000 000 сваляния и използван от хиляди приложения. Тази седмица разбираме за нов инцидент в тази посока, макар и мащаба му да е несравним с Log4j.

Компанията за сигурност и защита Sonatype съобщи, че по-рано този месец неизвестна страна качва в популярното хранилище за Python код Python Package Index (PyPI) библиотека, чието използване води до превземането на системи. Имитиращо името популярния клиент на Apache Kafka за Python PyKafka, pymafka, както са го кръстили създателите му, сваля троянска програма на системата и краде данни от нея.

На 17-ти този месец, специалистите от Sonatype регистрират появата на мистериозна библиотека в PyPI с името pymafka. Стартирането на инсталационния скрипт на pymafka води до свалянето и изпълнението на клиента на Cobalt Strike, популярен софтуерен инструмент, използван за симулиране на атаки от страна на пентестъри и екипи по сигурността при осъществяването на одит на клиентски мрежи. Подобно и на други подобни програми обаче, използването му не се ограничава единствено от защитници, но и от нападатели, какъвто е и случая тук. След установяването на клиента на Cobalt Strike, системата се свързва с IP адрес в Китай и сваля троянска програма в зависимост от типа операционна система – macOS, Windows или Линукс. Скоро след откриването на pymafka Sonatype се свързват с администраторите на PyPI, които го премахват, но междувременно то е свалено 300 пъти. И връщайки се на темата за атаките към веригите за доставки, то може да си представите какъв ефект може да предизвика този случай, ако зад тези 300 сваляния стои интеграцията на библиотеката в да речем 300 популярни приложения. По отношение на PyPi и pymafka, това е вторият случай за по-малко от месец, който Sonatype засичат неизвестна страна да предлага зловреден код в хранилището, който имитира проект, свързан с Apache Kafka за Python. Този път името на библиотеката съвпадала напълно с името на оригиналния проект. За щастие, това се оказало вид шега-предупреждение към невнимателни разработчици.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари