Python Package Index, scovate 10 librerie malevole

Per caricare le librerie infette nel repository ufficiale si suppone sia stata utilizzata una tecnica chiamata "typosquatting"; i pacchetti modificati contengono codice che acquisisce dati dal PC compromesso

Roma – Il National Security Office slovacco ( NBU ) ha identificato dieci librerie malevole caricate su PyPI (Python Package Index), il repository software utilizzato dal linguaggio di programmazione Python. Questi pacchetti modificati sono rimasti online tra i mesi di giugno e settembre 2017 e più volte scaricati da ignari sviluppatori.

Python

Gli esperti sostengono che gli attaccanti, caricando librerie Python con un nome simile a librerie note, abbiano voluto sfruttare una tecnica chiamata “typosquatting”, una sorta di cybersquatting che si basa su errori di battitura/digitazione (ad esempio “urlib” al posto di “urllib”) per indurre con l’inganno l’utente a utilizzare tali librerie. Ciò significa che qualora i programmatori sbaglino a scrivere il nome del pacchetto si ritroveranno a caricare codice malevolo nel loro software. Poiché il repository non esegue alcun tipo di controllo quando vengono caricate nuove librerie , gli attaccanti non hanno riscontrato la benché minima difficoltà nell’upload dei moduli infetti.

Stando a quanto riportato dall’NBU questi pacchetti contengono le medesime funzionalità degli originali, ma lo script di installazione setup.py è stato modificato per includere del codice, non compatibile con Python 3.x, che colleziona informazioni sensibili (username dell’utente, hostname, nome e versione del pacchetto) dagli host infetti. Tali informazioni vengono poi inviate ad un server remoto con IP 121.42.217.44:8080.

In seguito alla segnalazione dell’NBU gli amministratori di PyPi hanno rimosso i seguenti pacchetti contenenti codice malevolo:

  • acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
  • apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
  • bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
  • crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
  • django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
  • pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
  • setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
  • telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
  • urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
  • urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

I ricercatori invitano gli sviluppatori a controllare che nel loro software non ci sia la presenza di queste false librerie e nel caso di sostituirle con quelle originali. Comandi e indicatori di compromissione possono essere consultati sul sito dell’NBU ; inoltre si raccomanda attenzione durante l’installazione con pip .

Ilaria Di Maro

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Utente sconsolato scrive:
    Piccolo aggiornamento
    (http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html)La seguente chiave fa comunque parte dell'installazione di Windows (la mia è vuota):HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf
  • Maddog scrive:
    Tempi...
    Ma tutti questi leoni da tastiera hanno una vaga idea di che tempi abbia una integrazione aziendale?!?Normalmente per uniformare e integrare le procedure ci vuole un annetto (no tranqulli, per tagliare il personale ci si mette meno ma è un'altra storia)
    • jack scrive:
      Re: Tempi...
      - Scritto da: Maddog
      Ma tutti questi leoni da tastiera hanno una vaga
      idea di che tempi abbia una integrazione
      aziendale?!?La gran parte dei commenti scritti qua sono, quando va bene, di gente che FORSE è competente dal punto di vista tecnico ... ma di gente che abbia presente cosa sia una una Organizzazione (in tutti i sensi) ne vedo proprio poca.
    • .... scrive:
      Re: Tempi...
      - Scritto da: Maddog
      Ma tutti questi leoni da tastiera hanno una vaga
      idea di che tempi abbia una integrazione
      aziendale?!?
      Normalmente per uniformare e integrare le
      procedure ci vuole un annettoMa LOL! Un annetto per cosa? Stiamo parlando di CCleaner, che avrà a dir tanto cinque-sei sviluppatori. Se un'azienda ci mette un annetto a integrare cinque-sei persone siamo alla demenza.
  • Luca scrive:
    Non passa!
    Se è legittimo pensare e sostenere che i sistemi IT e il controllo qualità fossero ancora quelli della piriform (un mese è nulla per aziende ben strutturate, il proXXXXX di acquisizione si raffina in anni), va detto che hanno _firmato_ l'eseguibile e che sono stati altri ad accorgersi del problema (Cisco).Quindi cara barzellAvast prendetevi la responsabilità del disastro.
  • masso scrive:
    Sic!
    Numeri delle installazioni che magicamente si dimezzano come se fossero confetti nunziali....indentificazione e argine a un contagio di 700mila pc nel globo...dopo due mesi....due mesi.....l'Avast non è un'azienda di antivirus...ma un'azienda che diffonde barzellette....
  • bravo bravo scrive:
    Bla bla bla
    Non ci sono scuse che tengano, questi producono antivirus e hanno FIRMATO un malware e l'hanno lasciato attivo per UN MESE.Ergo, non è possibile fidarsi di loro. Punto.
    • Mao99 scrive:
      Re: Bla bla bla
      - Scritto da: bravo bravo
      Non ci sono scuse che tengano, questi producono
      antivirus e hanno FIRMATO un malware e l'hanno
      lasciato attivo per UN
      MESE.

      Ergo, non è possibile fidarsi di loro. Punto.Quoto quanto detto e in aggiunta dico che li ho abbandonati da anni.
    • 0b3a654c808 scrive:
      Re: Bla bla bla
      Visti i tempi è chiaro che i controlli di qualità erano ancora effettuati dal personale di Piriform.
      • bravo bravo scrive:
        Re: Bla bla bla
        - Scritto da: 0b3a654c808
        Visti i tempi è chiaro che i controlli di qualità
        erano ancora effettuati dal personale di
        Piriform.L'hanno acquistato in luglio.https://press.avast.com/avast-acquires-piriform-maker-of-ccleanerLa versione infetta è uscita a metà agosto.Quindi, no, visti i tempi proprio un bel nulla.
        • Wayruss scrive:
          Re: Bla bla bla
          - Scritto da: bravo bravo
          L'hanno acquistato in luglio.
          https://press.avast.com/avast-acquires-piriform-ma

          La versione infetta è uscita a metà agosto.Inoltre la cosa è venuta fuori solo a metà settembre... e sono stati altri ad avvisare Avast.
        • 911b68ee816 scrive:
          Re: Bla bla bla


          L'hanno acquistato in luglio.
          https://press.avast.com/avast-acquires-piriform-ma

          La versione infetta è uscita a metà agosto.

          Quindi, no, visti i tempi proprio un bel nulla.Grande efficienza. Hanno comprato una società e in un mese avevano già integrato tutti i sistemi e riorganizzato il personale. :)XXXXXXXte a parte. Piriform ha sede in una città dove pagano bene, ma dove la maggior parte della gente lavora a partita IVA con contratti a tre mesi e l'incertezza viene sfruttata per spremere i programmatori e fargli fare parecchie ore di straordinario. Scommetto che quando hanno saputo di essere stati comprati da un'azienda con una sede in una zona molto diversa che tra le altre cose offre parecchio lavoro di sviluppo offshore molti hanno visto il loro lavoro traballare.
    • masso scrive:
      Re: Bla bla bla
      Non hanno impiegato un mese ma due. E l'aspetto grottesco è che spostando la data della presunta breccia nel tentativo di sollevarsi dalle loro responsabilità...hanno affondato ancora di più l'immagine di leader mondiali di suite antivirus... Due mesi per identificare e bloccare la diffusione mondile di un trojan che ospitavano nella depandance nuova della loro casa....
Chiudi i commenti