Python-спільнота зазнала незвичайної та витонченої кібератаки. Зловмисники сховали шкідливий код усередині логотипу популярного пакета "requests", який використовується сотнями тисяч розробників по всьому світу.
Стеганографія як інструмент атаки
Дослідники в галузі кібербезпеки виявили на платформі PyPI підроблений пакет під назвою "requests-darwin-lite", який було завантажено 417 разів.
Усередині цього пакета зловмисники використовували метод стеганографії, щоб заховати шкідливий код всередині PNG-зображення. Цей метод дає змогу приховувати інформацію всередині графічних файлів або цифрових зображень.
Таким чином хакери змогли обдурити системи перевірки та доставити шкідливе навантаження на сотні комп'ютерів розробників.
Цілеспрямована атака чи тестування?
Прихований у логотипі шкідливий код активується тільки в тому разі, якщо ідентифікатор пристрою жертви збігається із заданим значенням.
Це може вказувати або на цілеспрямовану атаку на конкретного розробника або організацію, або на тестування шкідливого ПЗ перед більш масштабною кампанією.
Загроза для екосистеми відкритого ПЗ
Цей інцидент – чергове нагадування про те, що платформи з відкритим вихідним кодом залишаються вразливими для атак зловмисників. Хакерські групи активно використовують методи соціальної інженерії та технічні хитрощі, щоб поширювати шкідливі програми серед розробників по всьому світу.
Цей випадок показує, що необхідно вживати додаткових заходів щодо забезпечення безпеки популярних бібліотек і фреймворків з відкритим вихідним кодом. Інакше зловмисники будуть і далі використовувати їх як вектор атаки для компрометації корпоративних мереж і кінцевих споживачів.
Інцидент зі шкідливим ПЗ всередині логотипу популярного Python-пакета – яскравий приклад витонченості сучасних хакерів. Вони готові використовувати такі нестандартні методи, як стеганографія, щоб обійти захист і дістатися до своїх цілей.
Компаніям і розробникам необхідно бути напоготові і посилити заходи контролю безпеки пакетів з відкритим вихідним кодом. Інакше під загрозою можуть опинитися як окремі користувачі, так і корпоративні системи цілком.
