מקור: Unsplash
PyPI הוא מאגר הספריות הגדול ביותר לפייתון, שמשמש כחצי מיליון מפתחים ברחבי העולם. הוא אמנם נהנה מתמיכה של גוגל, אמזון ועוד ענקיות, ומכיל מאות אלפי חבילות שונות שחוסכות למפתחים כאב ראש וזמן יקר, אבל בזמן האחרון אנחנו נחשפים לעוד ועוד סכנות באותה אמונה עיורת שמפתחים נותנים בחבילות הללו כשהם מתקינים אותן מבלי לבדוק ולבחון אותן לעומק. כעת, חוקרים ישראלים גילו חבילות זדוניות חדשות וטוענים שהן הורדו על ידי לא מעט אנשים.
אספו פרטי אשראי, סיסמאות וטוקנים
המחקר החדש פורסם על ידי צוות המחקר והאבטחה של JFrog, שמבוסס אגב על הצוות של Vdoo הישראלית שנרכשה רק לפני חודשיים תמורת סכום של 300 מיליון דולר. הצוות פיתח מערכת לזיהוי אוטומטי של חבילות זדוניות, וגילה מספר חבילות ב-PyPI שעל פניו נראו תמימות, אך החביאו בתוכן קודים נסתרים וזדוניים.
בין היתר, הצוות של אנדריי פולקובניצ’נקו, עומר כספי ושחר מנשה, גילה שאותן חבילות מסוגלות לגנוב טוקני הזדהות אל מול Discord (שיאפשרו גניבות של חשבונות); גניבת מידע ממנגנון ה-Autocomplete של דפדפנים כמו כרום ו-Edge, כלומר מספרי כרטיסי אשראי ופרטי גישה לאתרים; איסוף מידע על המערכת של המשתמש כמו כתובות IP, רישיונות ל-Windows ואפילו תמונות מסך; וגם הזרקת קוד זדוני מרחוק.
החדשות הטובות הן שהחוקרים דיווחו על הממצאים ל-PyPI, ואלו מחקו את החבילות באופן מיידי. החדשות ההרבה פחות טובות הן שכאמור, מפתחים מסביב לעולם הספיקו כבר להוריד את החבילות יותר מ-30 אלף פעמים עד כה. לחוקרים אין כל מידע על האם התוקפים ששתלו את החבילות ב-PyPI הצליחו לאסוף בעזרתם מידע או להעצים את התקיפה שלהם.
שוב, תקיפה בשרשרת אספקה
הבעיה האמיתית של הגילוי הזה החלה לצוף בתחילת 2021, אז חוקר אבטחה חשף כי הצליח לפרוץ לענקיות כמו אפל, מיקרוסופט, טסלה ופייפאל בקלילות. כל שהוא היה צריך לעשות כדי לפרוץ למי שנחשבות ככמעט בלתי פריצות הוא להעלות חבילות זדוניות לספריות ציבוריות, כמו PyPI. במקרה שלו, הוא פשוט השתמש באותו השם לחבילות שנמצאות בשימוש של אותן ענקיות, ויותר מ-35 ארגונים נפלו בפח ומשכו את החבילות. באופן קצת אירוני, אותו חוקר ציין גם את JFrog Artifactory בתור גורם שמכיל את אותה חולשה, אך בחברה טענו בזמנו כי המערכת מאפשרת לסנן ספריות תוכנה ממקורות חיצוניים בדיוק בשביל להימנע ממתקפה זו.
מתקפות שכאלו נחשבות מתקפות שרשרת אספקה, ואלו מנסות לטרגט דווקא את המפתחים של מוצרים, כדי שאלו ישתילו מרצונם החופשי וללא כל ידיעה קוד זדוני, שיגיע בסופו של דבר לפרויקטים תמימים ואל מיליוני לקוחות פוטנציאליים. “זוהי מגמה מסוכנת שיכולה לגרום למתקפות Supply Chain נרחבות”, טוען אסף קרס, מנהל טכנולוגיות ואבטחה ראשי ב-JFrog, שלקח חלק במחקר, בשיחה עם גיקטיים. “העובדה שתוקפים יכולים להשתמש בטכניקות obfuscation פשוטות וזמינות כדי להכניס נוזקות למאגרי קוד פתוח, מחייבת מפתחים לנהוג במשנה זהירות. מדובר באיום נרחב המחייב מענה שיטתי במספר רמות, הן ברמת מנהלי המאגר והן ברמת המפתחים”.
ומה אפשר לעשות? אם בדקתם את המאגרים שלכם וגיליתם שהשתמשתם באחת מהחבילות המוזכרות במחקר, החוקרים ממליצים קודם כל להחליף את הסיסמאות לאתרים ששמרתם ב-Edge ולשקול ביטול של כרטיסי האשראי ששמרתם ב-Chrome. כמו כן, הם ממליצים מאוד להריץ סריקה מלאה של תוכנת אנטי-וירוס אמינה כדי לבדוק האם הושתלה רוגלה או נוזקה כלשהי על המחשב שלכם באמצעות הזרקת הקוד מרחוק. אבל יותר מכל, אל תסמכו באופן עיוור על שום קוד לא אתם כתבתם.
“כדי לצמצם את הסיכון, מפתחים צריכים לאמת את החתימות של ספריות הקוד שהם מורידים ולהשתמש בכלי Application Security Testing אוטומטיים שיודעים לזהות קוד זדוני כחלק אינטגרלי מתהליך ה- CI\CD”, מסכם קרס.
