Rosszindulatú PyPI csomag nyithat backdoort Windowson, Linuxon és macOS-en

Újabb rosszindulatú Python csomagot fedeztek fel a PyPI-ben, a Python hivatalos 3rd party szoftvertárolójában. Május 17-én töltötték fel a támadók a tárolóba a pymafka nevű csomagot, ami nevében erősen hasonlít a széles körben használt PyKafka csomaghoz. Használói gépén, függően az operációs rendszer típusától (Windows, Linux, Darwin), a csomagban található setup.py script rosszindulatú tevékenységbe kezd: az internetről reverse shellt, Cobalt Strike beacon-t stb. tölt le. Részletek itt.

Hozzászólások

Most kerdeznem hogy quality control, de ha valahol nincs akkor az a pip install ...  

Gyanitom, hogy komolyan vehető kontroll egyik public feedben sincs (mvnrepository, maven central, nuget gallery..etc.).
Heurasztikus elven müködő vulnerability scanner-ről nem hallottam, kézzel meg a repository üzemeltetője nem fog tudni milliónyi csomagot vizsgálni.

Lehetne egy sandbox-ban futtatni automatikusan időről időre a csomagokat és a futásidejű működést tárolni (milyen részeihez nyúl a rendszernek, miket tölt le, mi mennyi ideig tart, mekkora a memória ugrás melyik műveletnél, cpu és network használat, megjelenő processzek száma stb stb). Ehhez persze minden csomaghoz kellene teszt kód. Ezt a csomag felvételénél lehetne talán megcsinálni, ha van rá humán erőforrás. Majd egy okosabb és modernebb matekot tartalmazó, erre csiszolt anomália detektáló modellel kiszűrni a top gyanúsakat, melyeket utána kézzel kellene elemezni.

Egy ilyen mechanizmus ma már elég fontos lenne, főleg a népszerűbb projekteknél.

engem csak az erdekelne, vajon miert telepitene barki is ezt az izet?  mondjuk en a pykafka-rol se hallottam, pedig 20 eve pythonozok

Kafkat eleg sok bank, biztosito es nagy ceg hasznal, nem a mezei userekre mentek.