PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
https://www.secnews.gr/656157/kakovoula-paketa-pypi-dependency-epithesi/
Aug 18th 2025, 17:04
by Digital Fortress
Ερευνητές ανακάλυψαν ένα νέο κακόβουλο πακέτο στο Python Package Index (PyPI) repository, που εισάγει κακόβουλη συμπεριφορά μέσω ενός dependency που του επιτρέπει να καθιερώσει επιμονή και να πραγματοποιήσει εκτέλεση κώδικα.
Κακόβουλο πακέτο στο Python Package Index (PyPI) repository
Το πακέτο, με την ονομασία termncolor, υλοποιεί τη δόλια λειτουργικότητά του μέσω ενός dependency package που ονομάζεται colorinal. Σύμφωνα με την Zscaler ThreatLabz, αυτό γίνεται με τη βοήθεια ενός multi-stage malware operation. Το termncolor συγκέντρωσε 355 λήψεις, ενώ το colorinal 529 . Και οι δύο βιβλιοθήκες δεν είναι πλέον διαθέσιμες στο PyPI.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
"Αυτή η επίθεση θα μπορούσε να αξιοποιήσει DLL side-loading για να διευκολύνει την αποκρυπτογράφηση, να καθιερώσει επιμονή και να διεξάγει επικοινωνία command-and-control (C2), καταλήγοντας σε απομακρυσμένη εκτέλεση κώδικα", λένε οι ερευνητές Manisha Ramcharan Prajapati και Satyam Singh.
Μόλις εγκατασταθεί και εκτελεστεί, το termncolor εισάγει το colorinal, το οποίο με τη σειρά του φορτώνει ένα κακόβουλο DLL που είναι υπεύθυνο για την αποκρυπτογράφηση και την εκτέλεση του payload επόμενου σταδίου. Το payload αναπτύσσει ένα νόμιμο binary "vcpktsvr.exe" και ένα DLL που ονομάζεται "libcef.dll" και εκκινείται χρησιμοποιώντας DLL side-loading. Το DLL είναι ικανό να συλλέγει πληροφορίες συστήματος και να επικοινωνεί με τον διακομιστή C2 χρησιμοποιώντας το Zulip, μια εφαρμογή ανοιχτού κώδικα για συνομιλίες.
"Η επιμονή επιτυγχάνεται με τη δημιουργία μιας εγγραφής μητρώου στο Windows Run key για να εξασφαλιστεί η αυτόματη εκτέλεση του κακόβουλου λογισμικού κατά την εκκίνηση του συστήματος", ανέφερε η Zscaler.
Δείτε επίσης: Κρίσιμες ευπάθειες PostgreSQL επιτρέπουν Code Injection
PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
Το κακόβουλο λογισμικό είναι επίσης ικανό να μολύνει συστήματα Linux, με τις βιβλιοθήκες Python να εγκαθιστούν ένα shared object file που ονομάζεται "terminate.so" (για την ίδια λειτουργικότητα).
Περαιτέρω ανάλυση της δραστηριότητας στο Zulip αποκάλυψε τρεις ενεργούς χρήστες, με συνολικά 90.692 μηνύματα να έχουν ανταλλαχθεί στην πλατφόρμα. Πιστεύεται ότι ο δημιουργός του κακόβουλου λογισμικού είναι ενεργός από τις 10 Ιουλίου 2025. "Το πακέτο termncolor και το dependency colorinal υπογραμμίζουν τη σημασία της παρακολούθησης των οικοσυστημάτων ανοιχτού κώδικα για πιθανές επιθέσεις εφοδιαστικής αλυσίδας", ανέφερε η εταιρεία.
Η είδηση έρχεται καθώς η SlowMist αποκάλυψε ότι οι απειλητικοί παράγοντες στοχεύουν προγραμματιστές με το πρόσχημα μιας αξιολόγησης εργασίας για να τους ξεγελάσουν ώστε να κλωνοποιήσουν ένα GitHub repository που περιέχει ένα booby-trapped npm πακέτο, το οποίο είναι ικανό να συλλέγει δεδομένα του iCloud Keychain, του προγράμματος περιήγησης ιστού και του πορτοφολιού κρυπτονομισμάτων.
Τα πακέτα npm έχουν επίσης σχεδιαστεί για να κατεβάζουν και να εκτελούν Python scripts, να καταγράφουν πληροφορίες συστήματος, να σαρώνουν το σύστημα αρχείων για ευαίσθητα αρχεία, να κλέβουν διαπιστευτήρια, να καταγράφουν πληκτρολογήσεις, να λαμβάνουν στιγμιότυπα οθόνης και να παρακολουθούν το περιεχόμενο του προχείρου.
Δείτε επίσης: Elastic EDR: Zero-day επιτρέπει εκτέλεση malware & BSOD
Τρόποι προστασίας (Best Practices)
• Ελαχιστοποίηση dependencies
• Χρησιμοποίησε μόνο ό,τι είναι απαραίτητο.
• Απόφυγε «ελαφριές» βιβλιοθήκες που κάνουν κάτι που μπορείς να υλοποιήσεις απλά μόνος σου.
2. Συνεχής ενημέρωση
• Χρήση εργαλείων όπως Dependabot (GitHub), Renovate, Snyk που ειδοποιούν για νέες εκδόσεις/ευπάθειες.
• Τακτικά security patches.
3. Σάρωση για γνωστές ευπάθειες (SCA – Software Composition Analysis)
Εργαλεία όπως:
• OWASP Dependency-Check
• Snyk
• Trivy
• GitLab Dependency Scanning
Σκανάρουν τον κώδικα και συγκρίνουν με βάσεις δεδομένων CVEs.
4. Private package repositories / mirroring
• Αντί να κατεβάζεις απευθείας από public repos (npm, PyPI, Maven), κράτα έναν εσωτερικό mirror με ελεγμένες εκδόσεις.
5. Code signing & verification
• Χρησιμοποίησε μόνο dependencies με υπογεγραμμένα releases.
• Επαλήθευε hashes (checksums).
6. Software Bill of Materials (SBOM)
• Διατήρησε αναλυτική λίστα με όλα τα dependencies, τις εκδόσεις τους και τις άδειες χρήσης.
• Χρησιμοποιείται ήδη σε πολλά regulatory πλαίσια (π.χ. NIS2, executive order στις ΗΠΑ).
7. Αρχή ελάχιστων προνομίων
• Αν ένα dependency δεν χρειάζεται system-level πρόσβαση, μην του δώσεις.
8. Monitoring & alerting
• Παρακολούθηση ύποπτης συμπεριφοράς σε runtime (π.χ. βιβλιοθήκη που ξαφνικά κάνει HTTP requests σε άγνωστους servers).
Συμπερασματικά, τα dependencies είναι αναπόφευκτα στον σύγχρονο προγραμματισμό, αλλά μετατρέπονται σε αόρατη αλυσίδα κινδύνων.
Η λύση δεν είναι να τα αποφύγουμε, αλλά να τα διαχειριστούμε υπεύθυνα:
• inventory (SBOM),
• τακτικός έλεγχος,
• ασφαλής διανομή,
• γρήγορα updates,
• και «μηδενική εμπιστοσύνη» στα public repos.
Πηγή: thehackernews.com
© SecNews.gr - PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
https://www.secnews.gr/656157/kakovoula-paketa-pypi-dependency-epithesi/
Aug 18th 2025, 17:04
by Digital Fortress
Ερευνητές ανακάλυψαν ένα νέο κακόβουλο πακέτο στο Python Package Index (PyPI) repository, που εισάγει κακόβουλη συμπεριφορά μέσω ενός dependency που του επιτρέπει να καθιερώσει επιμονή και να πραγματοποιήσει εκτέλεση κώδικα.
Κακόβουλο πακέτο στο Python Package Index (PyPI) repository
Το πακέτο, με την ονομασία termncolor, υλοποιεί τη δόλια λειτουργικότητά του μέσω ενός dependency package που ονομάζεται colorinal. Σύμφωνα με την Zscaler ThreatLabz, αυτό γίνεται με τη βοήθεια ενός multi-stage malware operation. Το termncolor συγκέντρωσε 355 λήψεις, ενώ το colorinal 529 . Και οι δύο βιβλιοθήκες δεν είναι πλέον διαθέσιμες στο PyPI.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
"Αυτή η επίθεση θα μπορούσε να αξιοποιήσει DLL side-loading για να διευκολύνει την αποκρυπτογράφηση, να καθιερώσει επιμονή και να διεξάγει επικοινωνία command-and-control (C2), καταλήγοντας σε απομακρυσμένη εκτέλεση κώδικα", λένε οι ερευνητές Manisha Ramcharan Prajapati και Satyam Singh.
Μόλις εγκατασταθεί και εκτελεστεί, το termncolor εισάγει το colorinal, το οποίο με τη σειρά του φορτώνει ένα κακόβουλο DLL που είναι υπεύθυνο για την αποκρυπτογράφηση και την εκτέλεση του payload επόμενου σταδίου. Το payload αναπτύσσει ένα νόμιμο binary "vcpktsvr.exe" και ένα DLL που ονομάζεται "libcef.dll" και εκκινείται χρησιμοποιώντας DLL side-loading. Το DLL είναι ικανό να συλλέγει πληροφορίες συστήματος και να επικοινωνεί με τον διακομιστή C2 χρησιμοποιώντας το Zulip, μια εφαρμογή ανοιχτού κώδικα για συνομιλίες.
"Η επιμονή επιτυγχάνεται με τη δημιουργία μιας εγγραφής μητρώου στο Windows Run key για να εξασφαλιστεί η αυτόματη εκτέλεση του κακόβουλου λογισμικού κατά την εκκίνηση του συστήματος", ανέφερε η Zscaler.
Δείτε επίσης: Κρίσιμες ευπάθειες PostgreSQL επιτρέπουν Code Injection
PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
Το κακόβουλο λογισμικό είναι επίσης ικανό να μολύνει συστήματα Linux, με τις βιβλιοθήκες Python να εγκαθιστούν ένα shared object file που ονομάζεται "terminate.so" (για την ίδια λειτουργικότητα).
Περαιτέρω ανάλυση της δραστηριότητας στο Zulip αποκάλυψε τρεις ενεργούς χρήστες, με συνολικά 90.692 μηνύματα να έχουν ανταλλαχθεί στην πλατφόρμα. Πιστεύεται ότι ο δημιουργός του κακόβουλου λογισμικού είναι ενεργός από τις 10 Ιουλίου 2025. "Το πακέτο termncolor και το dependency colorinal υπογραμμίζουν τη σημασία της παρακολούθησης των οικοσυστημάτων ανοιχτού κώδικα για πιθανές επιθέσεις εφοδιαστικής αλυσίδας", ανέφερε η εταιρεία.
Η είδηση έρχεται καθώς η SlowMist αποκάλυψε ότι οι απειλητικοί παράγοντες στοχεύουν προγραμματιστές με το πρόσχημα μιας αξιολόγησης εργασίας για να τους ξεγελάσουν ώστε να κλωνοποιήσουν ένα GitHub repository που περιέχει ένα booby-trapped npm πακέτο, το οποίο είναι ικανό να συλλέγει δεδομένα του iCloud Keychain, του προγράμματος περιήγησης ιστού και του πορτοφολιού κρυπτονομισμάτων.
Τα πακέτα npm έχουν επίσης σχεδιαστεί για να κατεβάζουν και να εκτελούν Python scripts, να καταγράφουν πληροφορίες συστήματος, να σαρώνουν το σύστημα αρχείων για ευαίσθητα αρχεία, να κλέβουν διαπιστευτήρια, να καταγράφουν πληκτρολογήσεις, να λαμβάνουν στιγμιότυπα οθόνης και να παρακολουθούν το περιεχόμενο του προχείρου.
Δείτε επίσης: Elastic EDR: Zero-day επιτρέπει εκτέλεση malware & BSOD
Τρόποι προστασίας (Best Practices)
• Ελαχιστοποίηση dependencies
• Χρησιμοποίησε μόνο ό,τι είναι απαραίτητο.
• Απόφυγε «ελαφριές» βιβλιοθήκες που κάνουν κάτι που μπορείς να υλοποιήσεις απλά μόνος σου.
2. Συνεχής ενημέρωση
• Χρήση εργαλείων όπως Dependabot (GitHub), Renovate, Snyk που ειδοποιούν για νέες εκδόσεις/ευπάθειες.
• Τακτικά security patches.
3. Σάρωση για γνωστές ευπάθειες (SCA – Software Composition Analysis)
Εργαλεία όπως:
• OWASP Dependency-Check
• Snyk
• Trivy
• GitLab Dependency Scanning
Σκανάρουν τον κώδικα και συγκρίνουν με βάσεις δεδομένων CVEs.
4. Private package repositories / mirroring
• Αντί να κατεβάζεις απευθείας από public repos (npm, PyPI, Maven), κράτα έναν εσωτερικό mirror με ελεγμένες εκδόσεις.
5. Code signing & verification
• Χρησιμοποίησε μόνο dependencies με υπογεγραμμένα releases.
• Επαλήθευε hashes (checksums).
6. Software Bill of Materials (SBOM)
• Διατήρησε αναλυτική λίστα με όλα τα dependencies, τις εκδόσεις τους και τις άδειες χρήσης.
• Χρησιμοποιείται ήδη σε πολλά regulatory πλαίσια (π.χ. NIS2, executive order στις ΗΠΑ).
7. Αρχή ελάχιστων προνομίων
• Αν ένα dependency δεν χρειάζεται system-level πρόσβαση, μην του δώσεις.
8. Monitoring & alerting
• Παρακολούθηση ύποπτης συμπεριφοράς σε runtime (π.χ. βιβλιοθήκη που ξαφνικά κάνει HTTP requests σε άγνωστους servers).
Συμπερασματικά, τα dependencies είναι αναπόφευκτα στον σύγχρονο προγραμματισμό, αλλά μετατρέπονται σε αόρατη αλυσίδα κινδύνων.
Η λύση δεν είναι να τα αποφύγουμε, αλλά να τα διαχειριστούμε υπεύθυνα:
• inventory (SBOM),
• τακτικός έλεγχος,
• ασφαλής διανομή,
• γρήγορα updates,
• και «μηδενική εμπιστοσύνη» στα public repos.
Πηγή: thehackernews.com
© SecNews.gr - PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672