Pacchetto Dormiente di PyPI Compromesso per Diffondere il Malware Nova Sentinel

Pubblicato il da

news hakingPacchetto Dormiente di PyPI Compromesso per Diffondere il Malware Nova Sentinel

Un pacchetto dormiente disponibile sul repository Python Package Index (PyPI) è stato aggiornato quasi due anni dopo per propagare un malware ruba-informazioni chiamato Nova Sentinel.

Il pacchetto, chiamato django-log-tracker, è stato pubblicato per la prima volta su PyPI nell’aprile 2022, secondo la società di sicurezza della catena di approvvigionamento software Phylum, che ha rilevato un aggiornamento anomalo della libreria il 21 febbraio 2024.

Sebbene il repository GitHub collegato non sia stato aggiornato dal 10 aprile 2022, l’introduzione di un aggiornamento malevolo suggerisce una probabile compromissione dell’account PyPI appartenente allo sviluppatore.

Django-log-tracker è stato scaricato 3.866 volte fino ad oggi, con la versione fraudolenta (1.0.4) scaricata 107 volte nella data in cui è stata pubblicata. Il pacchetto non è più disponibile per il download da PyPI.

“Nell’aggiornamento malevolo, l’attaccante ha eliminato gran parte del contenuto originale del pacchetto, lasciando dietro di sé solo un file init.py ed example.py,” ha dichiarato l’azienda.

Le modifiche, semplici e autoesplicative, comportano il recupero di un eseguibile chiamato “Updater_1.4.4_x64.exe” da un server remoto (“45.88.180[.]54”), seguito dal suo lancio utilizzando la funzione os.startfile() di Python.

Il binario, a sua volta, è incorporato con Nova Sentinel, un malware ruba-informazioni che è stato documentato per la prima volta da Sekoia nel novembre 2023, distribuito sotto forma di app Electron false su siti fasulli che offrono download di videogiochi.

“Quello che è interessante in questo caso particolare […] è che il vettore di attacco sembrava essere un tentativo di attacco alla catena di approvvigionamento tramite un account PyPI compromesso,” ha dichiarato Phylum.

“Se questo fosse stato un pacchetto davvero popolare, qualsiasi progetto con questo pacchetto elencato come dipendenza senza una versione specificata o con una versione flessibile specificata nel loro file di dipendenza avrebbe estratto l’ultima, maliziosa versione di questo pacchetto.”

Questo sottolinea l’importanza cruciale della vigilanza e delle rigorose misure di sicurezza nella catena di approvvigionamento del software, poiché anche componenti apparentemente innocui possono essere manipolati per scopi maliziosi.

Fonte della notizia

Pacchetto Dormiente di PyPI Compromesso per Diffondere il Malware Nova Sentinelultima modifica: 2024-02-24T09:58:07+01:00da puma1973a
Reposta per primo quest’articolo