Ένα κακόβουλο πακέτο που μιμείται το connector module του VMware vSphere “vConnector” μεταφορτώθηκε στο Python Package Index (PyPI) με το όνομα “VMConnect”, με στόχο τους επαγγελματίες της πληροφορικής.

Δείτε επίσης: Επίθεση ransomware αναγκάζει το σύστημα υγείας του Connecticut να κλείσει τις εγκαταστάσεις του

Το VMware vSphere είναι ένα σύνολο εργαλείων virtualization, ενώ το vConnector είναι ένα Python module interfacing που χρησιμοποιείται από προγραμματιστές και διαχειριστές συστημάτων το οποίο λαμβάνει 40,000 λήψεις το μήνα στο PyPI.

Σύμφωνα με την έρευνα της Sonatype και τον ανταποκριτή του BleepingComputer, Ax Sharma, το κακόβουλο πακέτο που μεταφορτώθηκε στο PyPI στις 28 Ιουλίου 2023, συγκέντρωσε 237 λήψεις μέχρι την αφαίρεσή του στις 1 Αυγούστου 2023.

Η έρευνα της Sonatype αποκάλυψε δύο ακόμη πακέτα με τον ίδιο κώδικα όπως το «VMConnect», δηλαδή το «ethter» και το «quantiumbase», που λήφθηκαν 253 και 216 φορές, αντίστοιχα.

Το πακέτο ‘ethter’ αντιγράφει το νόμιμο πακέτο ‘eth-tester’, το οποίο έχει πάνω από 70.000 μηνιαίες λήψεις, ενώ το ‘quantiumbase’ είναι ένας κλώνος του πακέτου ‘databases’, το οποίο λαμβάνει 360.000 λήψεις τον μήνα.

Όλα τα τρία κακόβουλα πακέτα περιλάμβαναν τη λειτουργικότητα των έργων που μιμούνταν, με αποτέλεσμα να εξαπατούν τα θύματα και να τα παραπλανούν πιστεύοντας ότι χρησιμοποιούν νόμιμα εργαλεία, παρατείνοντας έτσι τη διάρκεια της μόλυνσης.

Δείτε επίσης: FBI, CISA και NSA: Κορυφαίες ευπάθειες του 2022

VMConnect κώδικας

Σημάδια κακόβουλων προθέσεων στον κώδικα του πακέτου είναι εμφανή στο αρχείο ‘init.py’ που περιέχει μια συμβολοσειρά κωδικοποιημένη με τη μέθοδο base-64, η οποία αποκωδικοποιείται και εκτελείται σε έναν ξεχωριστό διεργαστή, τρέχοντας κάθε λεπτό για να ανακτήσει δεδομένα από ένα URL που ελέγχεται από τον επιτιθέμενο και να το εκτελέσει στο παραβιασμένο μηχάνημα.

Η διεύθυνση URL αυτών των πακέτων ping είναι hxxp://45.61.139[.]219/paperpin3902.jpg (σε ορισμένες εκδόσεις, η παραλλαγή αφορούσε το domain:hxxps://ethertestnet[.]pro/paperpin3902.jpg). Παρά το γεγονός ότι ο σύνδεσμος εμφανίζεται σαν αρχείο εικόνας, διαθέτει κώδικα plaintext.

Η Ankita Lamba της Sonatype, που ηγήθηκε της ανάλυσης του πακέτου, δεν μπορούσε να ανακτήσει το payload της δεύτερης φάσης καθώς είχε αφαιρεθεί από την εξωτερική πηγή κατά τη διάρκεια της έρευνας.

Ωστόσο, ένα πακέτο που επικοινωνεί με ένα εξωτερικό, ασαφές URL για να ανακτήσει και να εκτελέσει ένα payload στον host είναι γενικά αρκετό για να συμπεράνουμε ότι αυτό αποτελεί μια υψηλού κινδύνου λειτουργία, ακόμη κι αν οι λεπτομέρειες είναι άγνωστες.

Δεν είναι απίθανο να παρέχουν οι επιτιθέμενοι εντολές μόνο σε μολυσμένους υπολογιστές που φαίνονται ενδιαφέροντες ή να χρησιμοποιούν έναν μηχανισμό φιλτραρίσματος IP για να αποκλείσουν αναλυτές.

Για να δώσει το πλεονέκτημα της αμφιβολίας στον δημιουργό των πακέτων, που έχει καταχωρηθεί ως “hushki502” στο PyPI και στο GitHub, η Sonatype επικοινώνησε με τον προγραμματιστή, αλλά δεν έλαβε καμία απάντηση.

Οι αναλυτές της ReversingLabs εντόπισαν την ίδια εκστρατεία και δημοσίευσαν αναφορά για αυτήν, ενώ η έρευνά τους για τον δράστη, το δεύτερο στάδιο του επιθέτου και τον τελικό στόχο των εισβολέων ήταν εξίσου αόριστη.

Ως τελευταία σημείωση προσοχής, είναι σημαντικό να επισημανθεί ότι οι περιγραφές των ψεύτικων πακέτων που χρησιμοποιήθηκαν στο PyPI ήταν ακριβείς και φαίνονταν ρεαλιστικές, ενώ δημιούργησαν ακόμη και GitHub repositories με αντίστοιχα ονόματα.

Δείτε επίσης: Ομάδα ερευνητών κάνει Jailbreak στο σύστημα ψυχαγωγίας της Tesla

Ωστόσο, οι προγραμματιστές θα μπορούσαν μόνο να ανακαλύψουν την παράνομη δραστηριότητα εάν είχαν παρατηρήσει τον χαμηλό αριθμό λήψεων, τον κρυμμένο κώδικα μέσα σε ορισμένα αρχεία και τα ονόματα πακέτων που μοιάζουν, αλλά δεν ταιριάζουν ακριβώς με εκείνα των νόμιμων έργων.

Πηγή πληροφοριών: bleepingcomputer.com