Một gói mã độc được phát hiện trên Chỉ mục gói Python (pypi) đã được phát hiện sử dụng một thủ thuật ẩn mã để che giấu mã độc hại trong các tệp hình ảnh.
Gói được đề cập, có tên “màu sắc“đã được tải lên kho lưu trữ của bên thứ ba Python vào ngày 31 tháng 10 năm 2022 và được mô tả là” Core lib cho API REST “, theo công ty an ninh mạng của Israel Check Point. Kể từ đó, nó đã bị gỡ xuống.
Apicolor, giống như các gói giả mạo khác được phát hiện gần đây, chứa hành vi độc hại của nó trong tập lệnh thiết lập được sử dụng để chỉ định siêu dữ liệu được liên kết với gói, chẳng hạn như các gói phụ thuộc của nó.
Điều này có dạng một gói thứ hai có tên “judyb” cũng như một tệp PNG dường như vô hại (“8F4D2uF.png”) được lưu trữ trên Imgur, một dịch vụ chia sẻ hình ảnh.
“Mã judyb hóa ra là một mô-đun steganography, chịu trách nhiệm [for] Che giấu và tiết lộ thông điệp ẩn bên trong các bức tranh, “Check Point giải thích.
Chuỗi tấn công đòi hỏi phải sử dụng gói judyb để trích xuất mã Python xáo trộn được nhúng trong hình ảnh đã tải xuống, sau khi giải mã, được thiết kế để truy xuất và thực thi một tệp nhị phân độc hại từ một máy chủ từ xa.
Sự phát triển này là một phần của xu hướng đang diễn ra, trong đó các tác nhân đe dọa đang ngày càng chú ý đến hệ sinh thái mã nguồn mở để khai thác niềm tin được liên kết với phần mềm của bên thứ ba để thực hiện các cuộc tấn công chuỗi cung ứng.
Rắc rối hơn nữa, các thư viện độc hại như vậy có thể được tích hợp vào các dự án mã nguồn mở khác và được xuất bản trên GitHub, mở rộng phạm vi và quy mô của các cuộc tấn công một cách hiệu quả.
“Những phát hiện này phản ánh việc lập kế hoạch và suy nghĩ cẩn thận của một tác nhân đe dọa, người đã chứng minh rằng các kỹ thuật làm nhiễu loạn trên PyPI đã phát triển”, công ty cho biết.
