Phát hiện một số thư viện Python độc hại trong kho lưu trữ PyPi

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Phát hiện một số thư viện Python độc hại trong kho lưu trữ PyPi
Cập nhật 4/8/2021: Kho lưu trữ gói PyPI Python cập nhật bản vá

Python Package Index (PyPI) đã đưa ra các bản vá cho 3 lỗ hổng. Một trong số đó có thể bị lạm dụng để thực thi mã tùy ý và kiểm soát hoàn toàn kho phần mềm chính thức của bên thứ ba.

Các điểm yếu bảo mật đã được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật Nhật Bản RyotaK và nhận tiền thưởng có giá trị lên tới 3000 USD.

Danh sách 3 lỗ hổng như sau:

----------------------------


Có đến 8 gói python với hơn 30.000 lượt tải về vừa bị “xóa sổ” khỏi PyPI portal vì chứa các mã độc hại. Điều này một nữa cho thấy các kho lưu trữ gói phần mềm đang là mục tiêu “ưa thích” cho các cuộc tấn công chuỗi cung ứng.


Python_library.jpg

PyPI (Python Package Index – Chỉ mục gói Python) là kho lưu trữ phần mềm chính thức cho ngôn ngữ lập trình Python của bên thứ ba, gồm các tiện ích trình quản lý gói như pip (Preferred Installer Program). Tiện ích này cho phép người dùng cài đặt, cài lại hoặc gỡ bản cài các gói PyPI bằng một dòng lệnh đơn giản và dễ hiểu.

8 gói Python đã bị đánh rối sử dụng chương trình mã hóa Base64 gồm có:
  • pytagora
  • pytagora2
  • noblesse
  • genesisbot
  • are
  • suffer
  • noblesse2
  • noblessev2
Các gói kể trên có thể bị lợi dụng làm điểm mở đầu để phát động các cuộc tấn công tinh vi, cho phép tin tặc thực thi mã trên máy mục tiêu, thu thập thông tin hệ thống, đánh cắp thông tin và mật khẩu thẻ tín dụng được lưu tự động trên các trình duyệt Chrome và Edge, thậm chí đánh cắp các token xác thực Discord để mạo danh nạn nhân.

Không chỉ riêng PyPI nằm trong trong số các kho lưu trữ gói phần mềm để lộ các nguy cơ tấn công cho kẻ xâm nhập, mà các gói mã độc được phát hiện trong npm và RubyGems được trang bị một số khả năng, đều có thể làm gián đoạn toàn bộ hệ thống hoặc là bàn đạp để truy cập sâu hơn vào mạng máy tính.

Tháng trước, hai công ty Sonatype và Vdoo tiết lộ các gói bị lỗi đánh máy (typosquatted) trong PyPi mà họ tìm thấy đã tải và thực thi các đoạn payload shell, kết quả là lấy được một công cụ đào tiền ảo của bên thứ ba như T-Rex, ubqminer hay PhoenixMiner để đào tiền ảo Ethereum và Ubig trên các hệ thống của nạn nhân.

CTO của JFrog (công ty mẹ của Vdoo) – Asaf Karas cho biết: “Việc tiếp tục phát hiện các gói phần mềm độc hại trong các kho lưu trữ phổ biến như PyPI là một xu hướng đáng báo động có thể dẫn đến các cuộc tấn công chuỗi cung ứng trên diện rộng. Từ khả năng những kẻ tấn công sử dụng các kỹ thuật đánh rối đơn giản để đưa mã độc vào đồng nghĩa với việc các nhà phát triển cần phải cẩn trọng và cảnh giác hơn nữa. Đây là một nguy cơ mang tính hệ thống và cần các bên phải chủ động xử lý, cả bên bảo trì kho lưu trữ phần mềm và nhà phát triển”.

Về phía các nhà phát triển, các biện pháp ngăn chặn như xác thực chữ ký thư viện và sử dụng các cộng cụ bảo mật ứng dụng tự động có thể rà quét các loại mã đáng ngờ trong dự án là điều không thể thiếu trong bất kỳ tiến trình CI/CD (Tích hợp liên tục/Triển khai liên tục) nào. Còn các công cụ tự động có thể cảnh báo khi các mô hình mã độc được sử dụng.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
pypi python
Bên trên