Các nhà nghiên cứu an ninh mạng đang cảnh báo về "gói mạo danh" bắt chước các thư viện phổ biến có sẵn trên kho lưu trữ Python (PyPI).
41 gói PyPI độc hại đã được phát hiện dưới dạng các biến thể của các mô-đun hợp pháp như HTTP, AIOHTTP, urllib và urllib3. Tên của các gói như sau:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestsd, requestse, requestst, ulrlib3, urelib3, urklib3, urlkib3, urllb, urllib33, urolib3, xhttpsp
Lucija Valentić, nhà nghiên cứu của ReversingLabs cho biết: “Phần lớn các mô tả cho các gói này rất mập mờ ”. "Một số được ngụy trang dưới dạng thư viện thực và so sánh giữa khả năng của chúng với khả năng của các thư viện HTTP hợp pháp, đã biết."
Nhưng trên thực tế, chúng chứa chấp các trình tải xuống hoạt động như một đường dẫn để phân phối phần mềm độc hại đến các máy chủ bị nhiễm hoặc những kẻ đánh cắp thông tin thiết kế để lấy cắp dữ liệu nhạy cảm như mật khẩu và mã thông báo.
Fortinet, công ty cũng đã công bố các gói HTTP giả mạo tương tự trên PyPI vào đầu tuần này, lưu ý rằng họ có khả năng khởi chạy một trình tải xuống trojan chứa một tệp DLL (Rdudkye.dll) gồm nhiều chức năng khác nhau.
Sự phát triển này chỉ là nỗ lực mới nhất của các hacker nhằm xâm chiếm các kho lưu trữ nguồn mở như GitHub, npm, PyPI và RubyGems nhằm truyền bá phần mềm độc hại đến các hệ thống của nhà phát triển và thực hiện các cuộc tấn công chuỗi cung ứng.
Phát hiện này được đưa ra một ngày sau khi Checkmarx trình bày chi tiết về sự gia tăng các gói thư rác trong sổ đăng ký npm nguồn mở được thiết kế để chuyển hướng nạn nhân đến các liên kết lừa đảo.
Valentić cho biết: “Giống như các cuộc tấn công chuỗi cung ứng khác, hacker dựa vào việc đánh máy nhầm lẫn và dựa vào các nhà phát triển thiếu cẩn trọng để vô tình tải nhầm các gói độc hại có tên giông giống gói thực”.