Из PyPI удалили восемь библиотек, воровавших токены Discord и номера банковских карт - «Новости»
- 10:30, 02-авг-2021
- Новости / Изображения / Преимущества стилей / Типы носителей / Отступы и поля / Заработок / Блог для вебмастеров / Сайтостроение / Самоучитель CSS
- Кузьма
- 0
Опасные библиотеки
На этой неделе операторы официального репозитория Python Package Index (PyPI) избавились от восьми библиотек, содержавших вредоносный код. Опасные пакеты были обнаружены специалистами JFrog , и их можно разделить на две категории, по типам выполняемых ими вредоносных операций.
Два из восьми пакетов (pytagora и pytagora2) позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы, вынуждая зараженный хост подключаться к IP-адресу атакующего через TCP-порт 9009, а затем выполнять произвольный Python-код, предоставленный вредоносным сервером. Эти пакеты были загружены пользователем leonora123.
Еще шесть пакетов (noblesse, genesisbot, aryi, suffer, noblesse2 и noblessev2) в основном занимались хищением данных. После установки на компьютер разработчика они собирали данные с зараженного хоста, уделяя особое внимание общей системной информации, токенам Discord (собранным из заранее определенных мест на диске) и информации о платежных картах (извлеченной из браузеров Google, Opera, Brave, Яндекс.Браузер и так далее). Первые три пакета были созданы пользователем xin1111 , а оставшиеся три — пользователем suffer.
Основываясь на статистике, собранной сторонним сервисом Pepy, в общей сложности восемь вредоносных библиотек были загружены более 30 000 раз.
Уязвимости PyPI
Также нужно сказать, что на днях разработчики PyPI исправили три уязвимости, одна из которых позволяла злоумышленнику получить полный контроль над порталом.
Уязвимости были обнаружены японским ИБ-исследователем, известным под ником RyotaK. Именно он ранее в этом месяце сообщал об ошибке в Cloudflare CDNJS, которая позволяла третьей стороне запустить вредоносный код примерно на 12% всех сайтов в интернете.
В новом отчете RyotaK пишет, что проанализировал код PyPI, доступный на GitHub, и обнаружил три ошибки, которые можно использовать для удаления файлов документации чужих проектов, удаления ролей в чужих проектах, а также запуска bash-команд в самой кодовой базе PyPI с помощью GitHub Actions.
Нетрудно понять, что третья уязвимость являлась критической, так как позволяла атакующим запускать команды в инфраструктуре PyPI для сбора токенов или других секретов из кодовой базы, которые впоследствии могли использоваться для доступа к коду PyPI и его изменения.
«Я мог бы изменить главную страницу pypi.org. Можно было даже изменять содержимое пакетов, поскольку pypa/warehouse содержит код для этого», — рассказывает RyotaK.
Специалисты The Python Software Foundation уже наградил исследователя, выплатив ему по 1000 долларов за каждую обнаруженную проблему.
We want to thank @ryotkak for identifying and responsibly disclosing three PyPI security vulnerabilities per https://t.co/ZjEAcgc0KP.
— Python Package Index (@pypi) July 29, 2021
You can read our analysis and mitigation here:
1️⃣ https://t.co/4jlIAnB1Ge
2️⃣ https://t.co/EvU6IScGc5
3️⃣ https://t.co/XpDQMDQyhb
Комментарии (0)