Хакери все частіше використовують власні пакети коду для атак або вставляють зловмисний командний рядок у пакети коду, що поширюються через онлайн-сховища та менеджери пакетів. Шахрайство стає все більш популярним серед хакерів. За даними Check Point, з 2021 по 2022 рік зростання вже перевищило 600 відсотків.
Check Point Research (CPR), дослідницький відділ Check Point Software Technologies, попереджає всі служби безпеки ІТ про шахрайські пакети коду. ThreatCloud знайшов кілька шкідливих об’єктів. Це шахрайство можна зарахувати до атак на ланцюги поставок і ланцюжків створення вартості, кількість яких значно зросла.
Довірені пакети коду заражені
Кіберзлочинці різними способами намагаються проникнути в системи підприємців і приватних осіб, а новим транспортним засобом хакерів є кодові пакети. Протягом останніх кількох років, за даними CPR, злочинці все частіше зловживали ними у своїх цілях: або контрабандою зловмисних командних рядків у пакети реального коду, що розповсюджуються через онлайн-репозиторії та менеджери пакунків, або просто випускаючи самі пакети зловмисного коду, які виглядають законними. Перш за все, це погіршує репутацію надійних сторонніх постачальників таких сховищ і впливає на часто поширені ІТ-екосистеми з відкритим кодом. Особливо націлені на Node.js (NPM) і Python (PyPi).
Приклад 1: 8 серпня інфікований пакет коду Python-drgn було завантажено в PyPi, у якому неправильно використовується ім’я справжнього пакета drgn. Ті, хто завантажує та використовують його, дозволяють хакерам, які стоять за ними, збирати особисту інформацію користувачів, щоб продавати її, видавати себе за них, захоплювати облікові записи користувачів і збирати інформацію про роботодавців жертв. Вони надсилаються на приватний канал Slack. Небезпечно те, що він містить лише файл setup.py, який використовується мовою Python лише для встановлення та автоматично отримує пакети Python без участі користувача. Саме це робить файл підозрілим, оскільки всі інші звичайні вихідні файли відсутні. Таким чином, шкідлива частина ховається в цьому інсталяційному файлі.
Код пакета вимикає Windows Defender
Приклад 2: інфікований пакет коду bloxflip, який неправильно використовує назву Bloxflip.py, також був запропонований на PyPi. Це спочатку вимикає Windows Defender, щоб уникнути виявлення. Після цього він завантажує виконуваний файл (.exe) за допомогою функції Get Python. Потім запускається підпроцес, і файл виконується в чутливому, оскільки привілейованому середовищі розробника системи.
2022 рік показує, наскільки важливим є застереження дослідників безпеки щодо цього методу: кількість пакетів шкідливого коду зросла на 2021 відсотки порівняно з 633 роком. Щоб захистити себе, Check Point радить: Завжди перевіряйте автентичність усіх вихідних кодів сторонніх програм і пакетів. Завжди шифруйте важливі дані, як під час передачі, так і в стані спокою. Проводьте регулярні перевірки використовуваних пакетів коду.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.