Пакеты Python пойманы на использовании боковой загрузки DLL для обхода защиты

Исследователи ReversingLabs обнаружили пакеты Python, использующие боковую загрузку DLL для обхода средств защиты.

10 января 2024 года Карло Занки, реверс-инженер из ReversingLabs, наткнулся на два подозрительных пакета в индексе пакетов Python (PyPI). Эти пакеты под названиями NP6HelperHttptest и NP6HelperHttper использовали боковую загрузку DLL - известную технику, применяемую злоумышленниками для незаметного выполнения кода и обхода средств защиты.

Это открытие свидетельствует о расширении угроз в цепочках поставок программного обеспечения, когда злоумышленники используют уязвимости в экосистемах с открытым исходным кодом. Этот инцидент подчеркивает проблемы, с которыми сталкиваются разработчики при проверке качества и подлинности модулей с открытым исходным кодом на фоне огромного и постоянно меняющегося ландшафта доступного кода.

Вредоносные пакеты, замаскированные под именами, очень похожими на легитимные, были направлены на то, чтобы обмануть разработчиков и заставить их невольно включить их в свои проекты. Эта тактика, известная как typosquatting, - лишь один из многих методов, используемых злоумышленниками для проникновения в цепочки поставок легального программного обеспечения.

Дальнейшее расследование показало, что вредоносные пакеты были нацелены на существующие пакеты PyPI, NP6HelperHttp и NP6HelperConfig, первоначально опубликованные пользователем под ником NP6. Хотя NP6 связан с компанией Chapvision, специализирующейся на автоматизации маркетинга, аккаунт PyPI, о котором идет речь, был связан с личным аккаунтом разработчика Chapvision. Это открытие заставило Chapvision подтвердить легитимность вспомогательных инструментов и впоследствии удалить вредоносные пакеты из PyPI.

Анализ вредоносных пакетов выявил сложный подход, при котором скрипт setup.py использовался для загрузки как легитимных, так и вредоносных файлов. Примечательно, что вредоносная DLL - dgdeskband64.dll - была создана для использования боковой загрузки DLL - техники, которую обычно применяют злоумышленники для загрузки вредоносного кода, избегая при этом обнаружения.

Дальнейшее изучение выявило более широкую кампанию, в ходе которой были обнаружены дополнительные образцы с похожими характеристиками. Платформа Titanium Platform компании ReversingLabs, использующая YARA Retro Hunt, выявила связанные образцы, что указывает на скоординированные усилия субъектов угроз.

Вредоносный код, встроенный в DLL, использовал обработчик исключений для выполнения шелл-кода, устанавливал соединение с внешним сервером для загрузки и выполнения полезной нагрузки. В ходе расследования также были обнаружены следы Cobalt Strike Beacon - инструмента безопасности "красной команды", используемого угрожающими субъектами для вредоносной деятельности.

Это открытие свидетельствует о растущей изощренности злоумышленников, использующих для своих кампаний инфраструктуру с открытым исходным кодом. Оно подчеркивает настоятельную необходимость для разработчиков и организаций укреплять свои цепочки поставок программного обеспечения против таких атак, уделяя особое внимание проактивным мерам по обеспечению целостности и безопасности своих репозиториев кода.