I et nyt alarmerende tilfælde af IT-sikkerhedsbrist har sikkerhedsforskere fundet en ondsindet open source-pakke i GitLabs arkiv.
Denne nye IT-sikkerhedsbrist blev opdaget den 19. september af sikkerhedsforskeren Checkmarx, denne Python-fil, kaldet "culturestreak", beslaglægger aktivt systemressourcer for at engagere sig i uautoriseret minedrift af Dero-kryptovaluta som en del af en bredere kryptomining-ordning.
Tilskrevet en bruger ved navn Aldri Terakhir, er denne pakke gemt i et live-depot på GitLabs udviklerplatform. Checkmarx understreger alvoren af sådanne uautoriserede minedrift, som ikke kun dræner systemressourcer, men også fører til en betydelig opbremsning af berørte computere, hvilket potentielt udsætter brugerne for yderligere risici.
Denne afsløring fremhæver den vedvarende trussel fra opportunistiske trusselsaktører, som forurener open source-pakker, der bruges af udviklere til at konstruere software. Deres mål er at nå så mange ofre som muligt med minimal indsats, hvilket understreger den vedvarende trussel inden for softwareforsyningskæden.
Tidligere på året tog Checkmarx proaktive foranstaltninger ved at lancere en specialiseret trusselintelligens API, designet til at identificere ondsindede pakker, før de infiltrerer softwareforsyningskæden, og styrkede forsvar mod netop denne taktik.
GitLab og GitHub
Python-pakker er dukket op som en yndet vektor til at skjule ondsindede nyttelaster, givet den udbredte popularitet af denne open source-platform til softwareudvikling. Udbredelsen af kodedeling gennem repositories som GitLab og GitHub gør det til et let tilgængeligt økosystem, som trusselsaktører kan udnytte.
Navnlig har trusselsaktører også målrettet brugere af Python Package Index (PyPI) i en ondsindet social engineering-kampagne, der har til formål at stjæle deres legitimationsoplysninger for at injicere kompromitterede pakker direkte i depotet.
Culturestreak slører kodens formål
Ved udrulning anvender culturestreak en sløringsteknik, der involverer afkodning af flere Base64-kodede strenge, ofte brugt til at skjule følsomme oplysninger eller komplicere forståelsen af kodens formål. Pakken indstiller derefter variabler som HOST, CONFIG og FILE, som efterfølgende anvendes i de efterfølgende trin af operationen.
I et beregnet træk er FILE-variablen, der tjener som filnavn for den downloadede ondsindede binære, sat til et tilfældigt heltal mellem 1 og 999999. Denne taktik kan hindre antivirus- eller sikkerhedssoftwares evne til at opdage ondsindede filer baseret på forudbestemte navnekonventioner .
Pakken bestræber sig derefter på at downloade en binær fil mærket "bwt2", som er gemt i mappen /tmp/ - et fælles lager for midlertidige filer i Unix-lignende systemer. Selvom forskerne stod over for obfuskationsforhindringer, reverse-manipulerede de det med succes og afslørede, at det var blevet pakket med UPX eksekverbare pakker, version 4.02.
Dero kryptomining
Ved udpakningen afslørede forskerne en gcc binær fil, identificeret som "astrominer 1.9.2 R4," et kendt, optimeret værktøj til Dero kryptomining tilgængeligt på GitHub.
Som tidligere nævnt, fungerer binæren i en uophørlig løkke, der anvender hårdkodede pulje-URL'er og tegnebogsadresser, der effektivt transformerer den kompromitterede computer til et ubevidst tandhjul inden for en større minedrift.
I lyset af denne opdagelse understreger Checkmarx den kritiske vigtighed for udviklere at undersøge kode og pakker fra ubekræftede eller mistænkelige kilder grundigt. At holde sig ajour med kilder til trusselsintelligens anbefales også at holde sig informeret om potentielle trusler mod deres softwareudvikling.
For dem, der er bekymrede over tilstedeværelsen af den ondsindede kodepakke, giver Checkmarx en liste over indikatorer for kompromis (IoC'er) i Gelbs indlæg, hvilket gør det muligt for enkeltpersoner at konstatere, om kryptominerende nyttelast er aktiv på deres system.