Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Исследователи кибербезопасности обнаружили два вредоносных пакета в репозитории Python Package Index (PyPI), которые использовали метод, называемый побочной загрузкой DLL, для обхода обнаружения программным обеспечением безопасности и запуска вредоносного кода.
Пакеты с именами NP6HelperHttptest и NP6HelperHttper были загружены 537 и 166 раз каждый, соответственно, прежде чем они были удалены.
"Последнее открытие является примером побочной загрузки DLL, выполняемой пакетом с открытым исходным кодом, что предполагает расширение масштабов угроз в цепочке поставок программного обеспечения", - сказал исследователь ReversingLabs Петар Кирхмайер в отчете, опубликованном в Hacker News.
Название NP6 примечательно тем, что оно отсылает к законному решению для автоматизации маркетинга, созданному ChapsVision. В частности, поддельные пакеты представляют собой опечатки NP6HelperHttp и NP6HelperConfig, которые являются вспомогательными инструментами, опубликованными одним из сотрудников ChapsVision для PyPI.
Другими словами, цель состоит в том, чтобы обманом заставить разработчиков, ищущих NP6HelperHttp и NP6HelperConfig, загрузить их аналоги-мошенники.
В двух библиотеках содержится setup.py скрипт, предназначенный для загрузки двух файлов, фактически исполняемого файла от пекинской Kingsoft Corporation ("ComServer.exe "), которые уязвимы для загрузки на стороне DLL и для загрузки вредоносной библиотеки DLL на стороне ("dgdeskband64.dll").
При боковой загрузке библиотеки DLL цель состоит в том, чтобы избежать обнаружения вредоносного кода, как наблюдалось ранее в случае с пакетом npm под названием aabquerys, который также использовал ту же технику для выполнения кода, способного развернуть троянца удаленного доступа.
Библиотека DLL, со своей стороны, обращается к домену, контролируемому злоумышленником ("us.archive-ubuntu[.]top"), чтобы получить GIF-файл, который на самом деле является фрагментом шелл-кода для Cobalt Strike Beacon, инструментария для последующей эксплуатации, используемого для red teaming.
Есть основания полагать, что пакеты являются частью более широкой кампании, которая включает распространение аналогичных исполняемых файлов, подверженных загрузке на стороне DLL.
"Организации-разработчики должны быть осведомлены об угрозах, связанных с безопасностью цепочки поставок и репозиториев пакетов с открытым исходным кодом", - сказал исследователь безопасности Карло Занки.
"Даже если они не используют репозитории пакетов с открытым исходным кодом, это не означает, что субъекты угрозы не будут злоупотреблять ими, чтобы выдавать себя за компании, их программные продукты и инструменты".
Пакеты с именами NP6HelperHttptest и NP6HelperHttper были загружены 537 и 166 раз каждый, соответственно, прежде чем они были удалены.
"Последнее открытие является примером побочной загрузки DLL, выполняемой пакетом с открытым исходным кодом, что предполагает расширение масштабов угроз в цепочке поставок программного обеспечения", - сказал исследователь ReversingLabs Петар Кирхмайер в отчете, опубликованном в Hacker News.
Название NP6 примечательно тем, что оно отсылает к законному решению для автоматизации маркетинга, созданному ChapsVision. В частности, поддельные пакеты представляют собой опечатки NP6HelperHttp и NP6HelperConfig, которые являются вспомогательными инструментами, опубликованными одним из сотрудников ChapsVision для PyPI.
Другими словами, цель состоит в том, чтобы обманом заставить разработчиков, ищущих NP6HelperHttp и NP6HelperConfig, загрузить их аналоги-мошенники.
В двух библиотеках содержится setup.py скрипт, предназначенный для загрузки двух файлов, фактически исполняемого файла от пекинской Kingsoft Corporation ("ComServer.exe "), которые уязвимы для загрузки на стороне DLL и для загрузки вредоносной библиотеки DLL на стороне ("dgdeskband64.dll").
При боковой загрузке библиотеки DLL цель состоит в том, чтобы избежать обнаружения вредоносного кода, как наблюдалось ранее в случае с пакетом npm под названием aabquerys, который также использовал ту же технику для выполнения кода, способного развернуть троянца удаленного доступа.
Библиотека DLL, со своей стороны, обращается к домену, контролируемому злоумышленником ("us.archive-ubuntu[.]top"), чтобы получить GIF-файл, который на самом деле является фрагментом шелл-кода для Cobalt Strike Beacon, инструментария для последующей эксплуатации, используемого для red teaming.
Есть основания полагать, что пакеты являются частью более широкой кампании, которая включает распространение аналогичных исполняемых файлов, подверженных загрузке на стороне DLL.
"Организации-разработчики должны быть осведомлены об угрозах, связанных с безопасностью цепочки поставок и репозиториев пакетов с открытым исходным кодом", - сказал исследователь безопасности Карло Занки.
"Даже если они не используют репозитории пакетов с открытым исходным кодом, это не означает, что субъекты угрозы не будут злоупотреблять ими, чтобы выдавать себя за компании, их программные продукты и инструменты".
