Дослідники безпеки виділяють ще одне шахрайство, яке стало популярним серед хакерів за останні кілька років. Інфіковані пакети коду зі шкідливими командними рядками служать ударними загонами.
Дослідницький відділ Check Point Software попереджає всіх співробітників ІТ-безпеки про пакети шахрайського коду. Це шахрайство можна зарахувати до атак на ланцюги поставок і ланцюжків створення вартості, кількість яких значно зросла. Кіберзлочинці різними способами намагаються проникнути в системи підприємців і приватних осіб, а новим транспортним засобом хакерів є кодові пакети.
Кодові пакети як транспортні засоби
Протягом останніх кількох років злочинці дедалі частіше зловживали ними для своїх цілей: або контрабандою зловмисних командних рядків у пакети справжнього коду, що розповсюджуються через онлайн-репозиторії та менеджери пакунків, або просто випускали самі пакети зловмисного коду, які виглядають законними. Перш за все, це погіршує репутацію надійних сторонніх постачальників таких сховищ і впливає на часто поширені ІТ-екосистеми з відкритим кодом. Особливо націлені на Node.js (NPM) і Python (PyPi).
Приклад 1
8 серпня інфікований пакет коду Python-drgn було завантажено в PyPi, зловживаючи назвою справжнього пакета drgn. Ті, хто завантажує та використовують його, дозволяють хакерам, які стоять за ними, збирати особисту інформацію користувачів, щоб продавати її, видавати себе за них, захоплювати облікові записи користувачів і збирати інформацію про роботодавців жертв. Вони надсилаються на приватний канал Slack. Небезпечно те, що він містить лише файл setup.py, який використовується мовою Python лише для встановлення та автоматично отримує пакети Python без участі користувача. Саме це робить файл підозрілим, оскільки всі інші звичайні вихідні файли відсутні. Таким чином, шкідлива частина ховається в цьому інсталяційному файлі.
Приклад 2
Інфікований пакет коду bloxflip також був запропонований на PyPi, який зловживає назвою Bloxflip.py. Це спочатку вимикає Windows Defender, щоб уникнути виявлення. Після цього він завантажує виконуваний файл (.exe) за допомогою функції Get Python. Потім запускається підпроцес, і файл виконується в чутливому, оскільки привілейованому середовищі розробника системи.
2022 рік показує, наскільки важливим є застереження дослідників безпеки щодо цього методу: кількість пакетів шкідливого коду зросла на 2021 відсотки порівняно з 633 роком.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.