Gli hacker utilizzano sempre più i propri pacchetti di codice per gli attacchi o inseriscono righe di comando dannose in pacchetti di codice distribuiti tramite repository online e gestori di pacchetti. La truffa sta diventando sempre più popolare tra gli hacker. L'aumento dal 2021 al 2022 era già superiore al 600 percento, secondo Check Point.
Check Point Research (CPR), il dipartimento di ricerca di Check Point Software Technologies, mette in guardia tutte le forze di sicurezza IT sui pacchetti di codice fraudolenti. ThreatCloud ha rilevato diversi oggetti dannosi. Questa truffa può essere annoverata tra gli attacchi alla catena di approvvigionamento e gli attacchi alla catena del valore, che sono aumentati in modo significativo.
I pacchetti di codice attendibili sono infetti
I criminali informatici cercano di penetrare nei sistemi di imprenditori e privati in vari modi, e i pacchetti di codice sono il nuovo veicolo degli hacker. Negli ultimi anni, secondo CPR, i criminali ne hanno sempre più abusato per i loro scopi: contrabbandando righe di comando dannose in pacchetti di codice reale distribuiti tramite repository online e gestori di pacchetti, o semplicemente rilasciando essi stessi pacchetti di codice dannoso, che sembrano legittimi. Soprattutto, ciò porta discredito ai fornitori di terze parti effettivamente affidabili di tali repository e ha un impatto sugli ecosistemi IT spesso diffusi dell'open source. Soprattutto Node.js (NPM) e Python (PyPi) sono presi di mira.
Esempio 1: l'8 agosto, il pacchetto di codice infetto Python-drgn è stato caricato su PyPi, che abusa del nome del pacchetto reale drgn. Coloro che lo scaricano e lo utilizzano consentono agli hacker dietro di loro di raccogliere le informazioni private degli utenti per venderle, impersonarle, impossessarsi degli account utente e raccogliere informazioni sui datori di lavoro delle vittime. Questi vengono inviati a un canale Slack privato. La cosa pericolosa è che include solo un file setup.py, che viene utilizzato nel linguaggio Python solo per le installazioni e recupera automaticamente i pacchetti Python senza l'interazione dell'utente. Questo da solo rende il file sospetto poiché mancano tutti gli altri normali file di origine. La parte dannosa si nasconde quindi in questo file di installazione.
Il codice del pacchetto disabilita Windows Defender
Esempio 2: il pacchetto di codice infetto bloxflip, che abusa del nome di Bloxflip.py, è stato offerto anche su PyPi. Questo prima disabilita Windows Defender per evitare il rilevamento. Successivamente, scarica un file eseguibile (.exe) utilizzando la funzione Get di Python. Viene quindi avviato un processo secondario e il file viene eseguito nell'ambiente di sviluppo sensibile, perché privilegiato, del sistema.
L'anno 2022 mostra quanto sia importante l'avvertimento dei ricercatori di sicurezza contro questo metodo: il numero di pacchetti di codice dannoso è aumentato del 2021% rispetto al 633. Per proteggersi, Check Point consiglia: Verificare sempre l'autenticità di tutti i codici sorgente di programmi e pacchetti di terze parti. Crittografa sempre i dati importanti, sia in transito che inattivi. Effettuare controlli regolari dei pacchetti di codice utilizzati.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.