I ricercatori di sicurezza evidenziano un'altra truffa che è diventata popolare tra gli hacker negli ultimi anni. I pacchetti di codice infetti con righe di comando dannose fungono da truppe d'assalto.
Il dipartimento di ricerca di Check Point Software mette in guardia tutto il personale di sicurezza IT sui pacchetti di codici fraudolenti. Questa truffa può essere annoverata tra gli attacchi alla catena di approvvigionamento e gli attacchi alla catena del valore, che sono aumentati in modo significativo. I criminali informatici cercano di penetrare nei sistemi di imprenditori e privati in vari modi, e i pacchetti di codice sono il nuovo veicolo degli hacker.
Codificare i pacchetti come veicoli
Negli ultimi anni, i criminali li hanno sempre più abusati per i loro scopi: contrabbandando righe di comando dannose in pacchetti di codice originali distribuiti tramite repository online e gestori di pacchetti, o semplicemente rilasciando pacchetti di codice dannoso che sembrano legittimi . Soprattutto, ciò porta discredito ai fornitori di terze parti effettivamente affidabili di tali repository e ha un impatto sugli ecosistemi IT spesso diffusi dell'open source. Soprattutto Node.js (NPM) e Python (PyPi) sono presi di mira.
Esempio 1
L'8 agosto, il pacchetto di codice infetto Python-drgn è stato caricato su PyPi, abusando del nome del vero pacchetto drgn. Coloro che lo scaricano e lo utilizzano consentono agli hacker dietro di loro di raccogliere le informazioni private degli utenti per venderle, impersonarle, impossessarsi degli account utente e raccogliere informazioni sui datori di lavoro delle vittime. Questi vengono inviati a un canale Slack privato. La cosa pericolosa è che include solo un file setup.py, che viene utilizzato nel linguaggio Python solo per le installazioni e recupera automaticamente i pacchetti Python senza l'interazione dell'utente. Questo da solo rende il file sospetto poiché mancano tutti gli altri normali file di origine. La parte dannosa si nasconde quindi in questo file di installazione.
Esempio 2
Il pacchetto di codice infetto bloxflip è stato offerto anche su PyPi, che abusa del nome di Bloxflip.py. Questo prima disabilita Windows Defender per evitare il rilevamento. Successivamente, scarica un file eseguibile (.exe) utilizzando la funzione Get di Python. Viene quindi avviato un processo secondario e il file viene eseguito nell'ambiente di sviluppo sensibile, perché privilegiato, del sistema.
L'anno 2022 mostra quanto sia importante l'avvertimento dei ricercatori di sicurezza contro questo metodo: il numero di pacchetti di codice dannoso è aumentato del 2021% rispetto al 633.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.