I ricercatori di ReversingLabs hanno scoperto dei pacchetti Python che utilizzano il sideloading di DLL per aggirare gli strumenti di sicurezza.
Il 10 gennaio 2024, Karlo Zanki, un reverse engineer di ReversingLabs, si è imbattuto in due pacchetti sospetti sul Python Package Index (PyPI). Questi pacchetti, denominati NP6HelperHttptest e NP6HelperHttper, sono risultati utilizzare il sideloading di DLL, una tecnica nota utilizzata da attori malintenzionati per eseguire codice in modo discreto ed eludere il rilevamento da parte degli strumenti di sicurezza.
Questa scoperta sottolinea l’espansione del panorama delle minacce all’interno delle catene di fornitura del software, con attori malintenzionati che sfruttano le vulnerabilità negli ecosistemi open-source. L’incidente evidenzia le sfide che gli sviluppatori devono affrontare per verificare la qualità e l’autenticità dei moduli open-source, in un panorama vasto e in continua evoluzione di codice disponibile.
I pacchetti dannosi, camuffati con nomi molto simili a quelli legittimi, miravano a ingannare gli sviluppatori e a farli incorporare inconsapevolmente nei loro progetti. Questa tattica, nota come typosquatting, è solo uno dei tanti metodi utilizzati dagli aggressori per infiltrarsi nelle catene di fornitura del software legittimo.
Ulteriori indagini hanno rivelato che i pacchetti dannosi hanno preso di mira i pacchetti PyPI esistenti, NP6HelperHttp e NP6HelperConfig, originariamente pubblicati da un utente chiamato NP6. Mentre NP6 è associato a Chapvision, un’azienda di automazione del marketing, l’account PyPI in questione era collegato a un account personale di uno sviluppatore di Chapvision. La scoperta ha spinto Chapvision a confermare la legittimità degli strumenti di aiuto e a rimuovere successivamente i pacchetti dannosi da PyPI.
L’analisi dei pacchetti dannosi ha rivelato un approccio sofisticato, in cui uno script setup.py è stato utilizzato per scaricare sia i file legittimi che quelli dannosi. In particolare, la DLL dannosa – dgdeskband64.dll – è stata creata per sfruttare il sideloading delle DLL, una tecnica comunemente utilizzata dai criminali informatici per caricare codice dannoso eludendo il rilevamento.
Un ulteriore esame ha rivelato una campagna più ampia, con altri campioni che presentano caratteristiche simili. La piattaforma Titanium di ReversingLabs, utilizzando YARA Retro Hunt, ha identificato campioni correlati che indicano uno sforzo coordinato da parte degli attori delle minacce.
Il codice dannoso, incorporato nella DLL, utilizzava un gestore di eccezioni per eseguire shellcode, stabilendo una connessione con un server esterno per scaricare ed eseguire payload. L’indagine ha inoltre portato alla luce tracce di Cobalt Strike Beacon, uno strumento di sicurezza del Red Team riutilizzato dagli attori delle minacce per attività dannose.
Questa scoperta sottolinea la crescente sofisticazione degli attori maligni che sfruttano le infrastrutture open-source per le loro campagne. Evidenzia l’urgente necessità per gli sviluppatori e le organizzazioni di fortificare le loro catene di fornitura del software contro tali attacchi, sottolineando le misure proattive per garantire l’integrità e la sicurezza dei loro repository di codice.
