Škodlivé Python balíčky na PyPI zaznamenaly 39 000 stažení

Repozitář Python Package Index (PyPI) se znovu ocitl v centru pozornosti bezpečnostní komunity. Výzkumníci ze společností ReversingLabs a Socket odhalili několik škodlivých balíčků, které byly navrženy ke krádeži citlivých dat a testování ukradených platebních karet. Celkový počet stažení přesáhl 39 000 – a to vše bez většího podezření ze strany běžných vývojářů.

Dva z balíčků – bitcoinlibdbfix a bitcoinlib-dev – se vydávaly za opravy chyb v legitimním modulu bitcoinlib. Autoři šli tak daleko, že se zapojili do veřejné diskuze na GitHubu, kde se snažili přesvědčit uživatele, aby tyto balíčky stáhli jako „oficiální“ opravu. V pozadí však jejich kód přepisoval legitimní CLI příkazy a pokoušel se exfiltrovat databázové soubory.

Podle ReversingLabs šlo o typický příklad tzv. „typosquatting“ útoku, kdy se útočník spoléhá na překlepy nebo nepozornost vývojářů při instalaci balíčků pomocí pip.

Disgrasya: jméno odpovídající funkci

Balíček s názvem disgrasya (filipínský slang pro „nehodu“) byl mnohem přímější. Obsahoval plně automatizovaný carding skript, zaměřený na e-shopy postavené na WooCommerce a využívající platební bránu CyberSource.

Funkčnost zahrnovala:

– Programatické nalezení produktu v obchodě.

– Přidání do košíku.

– Vyplnění pokladního formuláře náhodnými údaji a ukradenými kartami.

– Odeslání transakce a exfiltrace dat (číslo karty, datum expirace, CVV) na server pod kontrolou útočníka (railgunmisaka[.]com).

Podle Socket Research šlo o sofistikovaný způsob, jak testovat platnost kradených karet bez vyvolání podezření detekčních systémů – tedy klasický příklad tzv. automated transaction abuse.

Supply chain jako Achillova pata vývoje

Tato událost opět upozorňuje na zranitelnost open source ekosystému. Instalace balíčků z veřejných repozitářů, jako je PyPI, zůstává běžnou praxí, ale zároveň představuje rostoucí vektor útoků. Útočníci využívají důvěru vývojářů a snadnost publikace balíčků k šíření malwaru, špionážního softwaru nebo nástrojů pro finanční podvody.

Doporučení pro bezpečnostní týmy

– Proaktivní kontrola závislostí – využívejte nástroje pro audit a monitoring balíčků, jako jsou pip-audit, Snyk, nebo ReversingLabs.

– Zamezení neautorizovaných knihoven – nastavte schválený whitelist balíčků pro produkční prostředí.

– Vzdělávání vývojářů – školení o rizicích typosquattingu a bezpečné práci se závislostmi by mělo být součástí onboardingu.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI