חוקרים ישראלים גילו חבילות זדוניות ב-PyPI שהורדו יותר מ-30 אלף פעמים

החבילות הזדוניות גנבו כרטיסי אשראי, טוקנים ל-Discord והזריקו קוד זדוני, בלי שהמפתחים ידעו

מקור: Unsplash

PyPI הוא מאגר הספריות הגדול ביותר לפייתון, שמשמש כחצי מיליון מפתחים ברחבי העולם. הוא אמנם נהנה מתמיכה של גוגל, אמזון ועוד ענקיות, ומכיל מאות אלפי חבילות שונות שחוסכות למפתחים כאב ראש וזמן יקר, אבל בזמן האחרון אנחנו נחשפים לעוד ועוד סכנות באותה אמונה עיורת שמפתחים נותנים בחבילות הללו כשהם מתקינים אותן מבלי לבדוק ולבחון אותן לעומק. כעת, חוקרים ישראלים גילו חבילות זדוניות חדשות וטוענים שהן הורדו על ידי לא מעט אנשים.

אספו פרטי אשראי, סיסמאות וטוקנים

המחקר החדש פורסם על ידי צוות המחקר והאבטחה של JFrog, שמבוסס אגב על הצוות של Vdoo הישראלית שנרכשה רק לפני חודשיים תמורת סכום של 300 מיליון דולר. הצוות פיתח מערכת לזיהוי אוטומטי של חבילות זדוניות, וגילה מספר חבילות ב-PyPI שעל פניו נראו תמימות, אך החביאו בתוכן קודים נסתרים וזדוניים.

בין היתר, הצוות של אנדריי פולקובניצ’נקו, עומר כספי ושחר מנשה, גילה שאותן חבילות מסוגלות לגנוב טוקני הזדהות אל מול Discord (שיאפשרו גניבות של חשבונות); גניבת מידע ממנגנון ה-Autocomplete של דפדפנים כמו כרום ו-Edge, כלומר מספרי כרטיסי אשראי ופרטי גישה לאתרים; איסוף מידע על המערכת של המשתמש כמו כתובות IP, רישיונות ל-Windows ואפילו תמונות מסך; וגם הזרקת קוד זדוני מרחוק.

החדשות הטובות הן שהחוקרים דיווחו על הממצאים ל-PyPI, ואלו מחקו את החבילות באופן מיידי. החדשות ההרבה פחות טובות הן שכאמור, מפתחים מסביב לעולם הספיקו כבר להוריד את החבילות יותר מ-30 אלף פעמים עד כה. לחוקרים אין כל מידע על האם התוקפים ששתלו את החבילות ב-PyPI הצליחו לאסוף בעזרתם מידע או להעצים את התקיפה שלהם.

שוב, תקיפה בשרשרת אספקה

הבעיה האמיתית של הגילוי הזה החלה לצוף בתחילת 2021, אז חוקר אבטחה חשף כי הצליח לפרוץ לענקיות כמו אפל, מיקרוסופט, טסלה ופייפאל בקלילות. כל שהוא היה צריך לעשות כדי לפרוץ למי שנחשבות ככמעט בלתי פריצות הוא להעלות חבילות זדוניות לספריות ציבוריות, כמו PyPI. במקרה שלו, הוא פשוט השתמש באותו השם לחבילות שנמצאות בשימוש של אותן ענקיות, ויותר מ-35 ארגונים נפלו בפח ומשכו את החבילות. באופן קצת אירוני, אותו חוקר ציין גם את JFrog Artifactory בתור גורם שמכיל את אותה חולשה, אך בחברה טענו בזמנו כי המערכת מאפשרת לסנן ספריות תוכנה ממקורות חיצוניים בדיוק בשביל להימנע ממתקפה זו.

מתקפות שכאלו נחשבות מתקפות שרשרת אספקה, ואלו מנסות לטרגט דווקא את המפתחים של מוצרים, כדי שאלו ישתילו מרצונם החופשי וללא כל ידיעה קוד זדוני, שיגיע בסופו של דבר לפרויקטים תמימים ואל מיליוני לקוחות פוטנציאליים.  “זוהי מגמה מסוכנת שיכולה לגרום למתקפות Supply Chain נרחבות”, טוען אסף קרס, מנהל טכנולוגיות ואבטחה ראשי ב-JFrog, שלקח חלק במחקר, בשיחה עם גיקטיים. “העובדה שתוקפים יכולים להשתמש בטכניקות obfuscation פשוטות וזמינות כדי להכניס נוזקות למאגרי קוד פתוח, מחייבת מפתחים לנהוג במשנה זהירות. מדובר באיום נרחב המחייב מענה שיטתי במספר רמות, הן ברמת מנהלי המאגר והן ברמת המפתחים”.

ומה אפשר לעשות? אם בדקתם את המאגרים שלכם וגיליתם שהשתמשתם באחת מהחבילות המוזכרות במחקר, החוקרים ממליצים קודם כל להחליף את הסיסמאות לאתרים ששמרתם ב-Edge ולשקול ביטול של כרטיסי האשראי ששמרתם ב-Chrome. כמו כן, הם ממליצים מאוד להריץ סריקה מלאה של תוכנת אנטי-וירוס אמינה כדי לבדוק האם הושתלה רוגלה או נוזקה כלשהי על המחשב שלכם באמצעות הזרקת הקוד מרחוק. אבל יותר מכל, אל תסמכו באופן עיוור על שום קוד לא אתם כתבתם.

“כדי לצמצם את הסיכון, מפתחים צריכים לאמת את החתימות של ספריות הקוד שהם מורידים ולהשתמש בכלי Application Security Testing אוטומטיים שיודעים לזהות קוד זדוני כחלק אינטגרלי מתהליך ה- CI\CD”, מסכם קרס.

מיצית כבר את מקום העבודה הנוכחי שלך? מיצית כבר את מקום העבודה הנוכחי שלך? עשרות משרות שוות מחכות לך עכשיו ב-Akamai

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

12 תגובות על "חוקרים ישראלים גילו חבילות זדוניות ב-PyPI שהורדו יותר מ-30 אלף פעמים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ינאי
Guest

אין פה שום “מחקר”

מדובר בסתם קוד שמישהו העלה ל pyPI, ואף אחד לא משתמש בו לכלום.
באותה מידה אני יכול להעלות קוד של וירוס או POC של חולשה לgithub ואז יבוא איזה חוקר מהולל עם כותרת: “קוד זדוני מופץ דרך גיטהב”

לא להאמין שjfrog שילמו 300 מיליון על ליצנות כזו….זו ברמה של עג”ג

אבי
Guest

30,000 הורדות…
זה לא ‘אף אחד’.

אלדד
Guest

30 אלף הורדות זה שום דבר…
לצורך השוואה את חבילת requests הורידו 2 מיליארד פעמים.

את paramiko למעלה מ 300 מיליון פעמים

את pytest יותר מ500 מיליון פעמים.

את numpy הורידות כמילארד וחצי פעמים.

אנונימוס
Guest

30 אלף הורדות = 30 אלף מחשבים שהותקפו, פשוט מאוד

אתה באמת מצפה שכמות ההורדות של חבילת תקיפה כלשהי תהיה באותו סדר גודל של החבילות הכי פופולאריות בעולם?
זו השוואה שלא מוכיחה שום דבר, חוץ מזה שאת החבילות הכי פופולאריות מורידים ממש הרבה (מפתיע)

אלדד
Guest

לא נכון.
אותו המחשב יכול להוריד את החבילה מספר פעמים.

30 אלף סתם נשמע מפוצץ אבל זה שום דבר.

tomer
Guest

יש לך המון (עשרות אלפי) כלים אוטומטיים שסורקים את pypi ומורידים אוטומטית חבילות חדשות משם. והם עושים את זה בסביבה סטרילית של VM כי הם יודעים שיש כל מיני רוגלות בחבילות איזוטריות, אז 30000 הורדות כאלה זה באמת כלום בפיתה…

מעניין אם ה’חוקרים’ גם סיננו הורדות כאלה ב’מחקר’ שלהם

קובי
Guest

אני לא מצליח להבין אנשים כמוך !!!
אז או שאתה מעדיף שלא ידווחו מקרים שכאלה (מחשיד משהו…), או שאתה מבואס שהם עשו זאת ולא אתה ?

ינאי
Guest

מתוק, על הדברים שאני עושה אתה לא תקרא בעיתונים
(;

סתם שם
Guest

העובדה שאיש לא ציין שם של אף חבילה מעיד על החוסר שימוש בהם ועל כמה שהם לא מועילות, כל ה”מחקר” הזה נשמע יותר כמו פרסומת לכלי האבטחה שהם מקדמים ולא שכחו לציין כמה הוא חשוב לכולם.

אבי
Guest

ציניקן, טרחת להסתכל במחקר?
יש שם את הרשימה.

Package name Maintainer Payload
noblesse xin1111 Discord token stealer, Credit card stealer (Windows-based)

genesisbot xin1111 Same as noblesse

are xin1111 Same as noblesse

suffer suffer Same as noblesse , obfuscated by PyArmor

noblesse2 suffer Same as noblesse

noblessev2 suffer Same as noblesse

pytagora leonora123 Remote code injection

pytagora2 leonora123 Same as pytagora

lllill
Guest
כתבה יותר רלוונטית מכל החפירות על רכבים חשמליים או קידומי מכירות אחרים. רק הערה קטנה: באמת ישנה תחושה של שימוש יתר במושגים ‘חוקרים’ ו’מחקר’. האם מאבטח בכניסה לקניון הוא חוקר אבטחה, וכשהוא מספר שהוא מצא סכין בתיק של איזו קשישה – בעצם הוא מפרסם מחקר?! איפה עובר הגבול? נראה שהיום כל אחד שעשה חיפוש בגוגל קורא לזה ‘עשיתי קצת מחקר’, ועובדי כל חברה שמספקת שירות כלשהו מחשיבים את עצמם כחוקרים, וכל פעם שהם פשוט מדווחים על עוד יום מוצלח בעבודה – אז זה בעצם ‘מאמר’ ו’פרסום מחקר’. דייג שדג דג – הוא חוקר? כשהוא חוזר הביתה ומראה לאישתו את הדג… Read more »
maor
Guest

תכל’ס, היום כל ילדון שפותח developer mode בכרום קורא לעצמו חוקר אבטחה.

wpDiscuz

תגיות לכתבה: