Tha luchd-rannsachaidh GitGuardian air toraidhean mion-sgrùdadh air dàta mothachail a dhìochuimhnich luchd-leasachaidh fhoillseachadh ann an còd air aoigheachd ann an stòr-dàta PyPI (Python Package Index) de phasganan Python. Às deidh sgrùdadh a dhèanamh air còrr air 9.5 millean faidhle agus 5 millean fios pacaid co-cheangailte ri 450 mìle pròiseact, chaidh 56866 cùis de dh ’aodion dàta dìomhair a chomharrachadh. Ma bheir sinn aire do dhàta sònraichte a-mhàin, gun dùblachadh ann an diofar fhoillseachaidhean, b’ e 3938 an àireamh de aoidion a chaidh a chomharrachadh, agus b’ e 2922 an àireamh de phròiseactan le co-dhiù aon aodion.
Gu h-iomlan, chaidh còrr air 150 seòrsa de dh’ aoidion fiosrachaidh dìomhair a chomharrachadh, a ’toirt a-steach faclan-faire àbhaisteach, iuchraichean criptografach, comharran ruigsinneachd airson seirbheisean sgòthan, siostaman amalachaidh leantainneach agus APIan. Bha co-dhiù 768 teisteanasan fhathast gnìomhach aig àm an sgrùdaidh. Am measg eisimpleirean de dh’ aoidion mòr-chòrdte a tha fhathast buntainneach tha iuchraichean ruigsinneachd airson Azure Active Directory, teisteanasan airson SSH, MongoDB, MySQL agus PostgreSQL, iuchraichean airson GitHub OAuth App, Dropbox agus Auth0, paramadairean logadh a-steach airson Coinbase agus Twilio.
Am measg nan seòrsaichean aoidion a tha a’ sìor fhàs mòr-chòrdte tha comharran airson faighinn gu botaichean ann an Telegram, agus dhùblaich an àireamh sin tràth ann an 2021 agus an uairsin dùblachadh a-rithist as t-earrach 2023. Chaidh àrdachadh cunbhalach ann an aoidion a chlàradh cuideachd bho 2020 airson iuchraichean ruigsinneachd gu API Google, agus bho 2022 airson teisteanasan don DBMS. Am measg nam pasganan a tha a’ leantainn anns an àireamh de dh’ aoidion, thathas a’ toirt iomradh air na pacaidean chatllm agus safire, anns an deach iuchraichean 209 gu OpenAI agus iuchraichean 320 gu Google Cloud a dhìochuimhneachadh.
Am measg nan seòrsaichean faidhle anns an deach an àireamh as motha de dh’ aoidion a chomharrachadh, a bharrachd air faidhlichean leis an leudachadh “.py”, tha faidhlichean leis an leudachadh .json (610 aoidion), .md (270), PKG-INFO (240 ), METADATA (210), . txt (170), a bharrachd air faidhlichean README (209) agus faidhlichean bho chlàran ainmichte deuchainn (675). Tha mòran aoidion cuideachd mar thoradh air dearmad agus mearachdan ann a bhith a’ suidheachadh casg fhaidhlichean nuair a thathar a’ cruthachadh phasganan. Mar eisimpleir, faodar faidhlichean le faidhlichean rèiteachaidh ionadail (.cookiecutterrc, .env, .pypirc, msaa) a chuir a-mach à stòr Git tro fhaidhle “.gitignore”, nach eilear a’ toirt aire nuair a thathar a’ cruthachadh a’ phacaid. Gu sònraichte, chaidh faidhlichean 43 .pypirc a lorg anns an stòr anns an robh teisteanasan airson faighinn gu PyPI. Ann an 15 aoidion, cha robh luchd-leasachaidh an dùil pasganan a chaidh a chruthachadh an toiseach airson an cleachdadh a-staigh fhoillseachadh gu poblach, ach dh’ fhoillsich iad iad air PyPI le mearachd.
A bharrachd air an sin, faodar iomradh a thoirt air dà thachartas eile co-cheangailte ri PyPI:
- Ann an stòr PyPI, chaidh 8 pasganan droch-rùnach a chomharrachadh, air an taisbeanadh mar ghoireasan airson obfuscation, i.e. a 'lùghdachadh a' chòd gu cruth nach gabh a leughadh, a 'dèanamh iom-fhillte air ath-nuadhachadh an algairim. Anns na pasganan ainmichte bha an sreang “pyobf” nan ainmean (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse agus pyobfgood) agus chaidh an luchdachadh sìos còrr air 2000 uair.
Bha an còd droch-rùnach a chaidh a thoirt a-steach do na pacaidean sònraichte don àrd-ùrlar Windows agus leig e ceangal ri smachd taobh a-muigh frithealaiche, ruith òrdughan neo-riaghailteach air coimpiutair an leasaiche, lorg agus cuir fiosrachadh mothachail, leithid iuchraichean ruigsinneachd, gu frithealaiche taobh a-muigh, agus gluais faidhlichean neo-riaghailteach bhon t-siostam. A bharrachd air an sin, dh’ fhaodadh an còd droch-rùnach a bhith na keylogger, faclan-faire a chaidh a chuir a-steach ann an Chrome a ghlacadh, dealbhan-sgrìn a chruthachadh, claisneachd a chlàradh, agus eadhon smachd a chumail air a’ chamara-lìn.
- Chaidh toraidhean sgrùdadh neo-eisimeileach air bunait còd nan innealan a chaidh a chleachdadh gus obair an stòr pypi.org agus am frèam cabotage a chaidh a chleachdadh ann am bun-structar orchestration container fhoillseachadh. Chaidh an sgrùdadh a dhèanamh le taic bhon bhuidheann neo-phrothaideach OTF (Maoin Teicneòlais Fosgailte). Rè an sgrùdaidh, cha deach duilgheadasan sam bith le ìre àrd de chunnart a chomharrachadh, agus chaidh na còdan stòr aithneachadh mar a bhith a’ coinneachadh ris na riatanasan bunaiteach airson còdadh sàbhailte. Aig an aon àm, cha deach sgrùdadh deuchainn gu leòr a thoirt air bunait còd cabotage agus chaidh 29 duilgheadasan a chomharrachadh, agus chaidh ochd dhiubh sin a shònrachadh le ìre meadhanach de chunnart, 6 - ìosal, agus chaidh 14 a chomharrachadh mar bheachdan fiosrachail.
Na duilgheadasan as follaisiche:
- Cha robh dearbhadh gu leòr air ainmean-sgrìobhte didseatach a chaidh a chleachdadh gus PyPI fhilleadh a-steach le AWS SNS a’ leigeil le fiosan a chuir gu puist-d luchd-cleachdaidh fa-leth.
- Aodion fiosrachaidh anns an inneal luchdachadh sìos a leigeas leat faighinn a-mach gu bheil cunntas ann gun a bhith a’ gineadh tachartasan mu oidhirpean logadh a-steach.
- Cleachdadh hashes criptografach neo-earbsach nach cuir a-mach ionnsaighean puinnseanachadh tasgadan.
- Ma tha còir agad pròiseasan togail a chuir air bhog tro cabotage, dh’ fhaodadh an neach-ionnsaigh a bhith comasach air na h-òrdughan aige a chuir an àite.
- Le còraichean cleachdadh ann an cabotage, dh’ fhaodadh neach-ionnsaigh ìomhaigh le coltas dligheach a chleachdadh.
Source: fosgailtenet.ru
