Na PyPl se objevil backdoor pro macOS zaměřený firemní sítě

Zpět na blog

Výzkumníci objevili novou kybernetickou kampaň zaměřenou na zařízení s macOS, která využívá falešné balíčky na PyPI a steganografii k infiltrování firemních sítí.

Bezpečnostní odborníci ze společnosti Phylum, kteří tento útok zaznamenali jako první, odhalili, že neznámí útočníci vytvořili zdánlivě neškodný fork knihovny „requests“ na Python Package Index (PyPI).

PyPI, nejpopulárnější repozitář open source kódu pro Python, se často stává cílem pro nasazení malwaru. Útočníci tentokrát použili knihovnu s názvem requests-darwin-lite, která se tváří jako neškodný fork původní knihovny „requests“.

Obsahuje však 17MB PNG obrázek s logem Requests, který skrytě ukrývá kód pro adversarial network Sliver C2.

Jakmile oběti stáhnou a spustí tento balíček, Sliver se nainstaluje a začne běžet na pozadí. Sliver, podobně jako Cobalt Strike, je cross-platformní open-source nástroj pro simulaci kybernetických útoků (red teaming). IT týmy jej často používají k testování bezpečnosti svých systémů, avšak v posledních letech jej zneužívají i kyberzločinci.

Sliver vyniká schopností generovat vlastní implantáty, poskytovat C2 funkce a nabízet různé post-exploitační nástroje a skripty.

Typicky hackeři sáhnou po Cobalt Strike, avšak tento nástroj byl zneužit a kompromitován natolik, že IT týmy jsou nyní lépe připraveny detekovat a blokovat jeho škodlivé aktivity.

Po objevení tohoto útoku Phylum okamžitě informoval tým pro správu PyPI, který škodlivý balíček z platformy odstranil. Podle výzkumníků šlo o vysoce cílený útok, avšak konkrétní cíle a identita útočníků zůstávají neznámé.

Zdroj ilustračního obrázku: Mia Baker on Unsplash

Zdroj: Bleepingcomputer

24. 5. 2024