domenica, 16 Marzo 2025
spot_imgspot_imgspot_imgspot_img
HomeInformaticaCyber SecurityPacchetti PyPI dannosi hanno rubato token cloud—oltre 14.100 download prima della rimozione

Pacchetti PyPI dannosi hanno rubato token cloud—oltre 14.100 download prima della rimozione

Ricercatori di cybersecurity avvertono di una campagna malevola su PyPI

I ricercatori di cybersecurity hanno lanciato un allarme riguardo a una campagna malevola che prende di mira gli utenti del repository Python Package Index (PyPI). Questa campagna utilizza librerie fasulle che si spacciano per utility legate al “tempo”, ma che in realtà nascondono funzionalità per rubare dati sensibili come i token di accesso al cloud.

Scoperta di pacchetti malevoli

La società di sicurezza della supply chain software, ReversingLabs, ha scoperto due gruppi di pacchetti, per un totale di 20. Questi pacchetti sono stati scaricati complessivamente oltre 14.100 volte. Tra i pacchetti più scaricati ci sono “snapshot-photo” (2.448 download) e “acloud-client” (5.496 download). Il primo gruppo di pacchetti è utilizzato per caricare dati sull’infrastruttura dell’attore malevolo, mentre il secondo implementa funzionalità di client cloud per servizi come Alibaba Cloud, Amazon Web Services e Tencent Cloud. Tuttavia, anche i pacchetti legati al “tempo” sono stati usati per esfiltrare segreti del cloud.

Rimozione e analisi dei pacchetti

Tutti i pacchetti identificati sono stati rimossi da PyPI al momento della scrittura. Un’ulteriore analisi ha rivelato che tre di questi pacchetti erano elencati come dipendenze di un progetto GitHub relativamente popolare, che è stato forkato 42 volte e ha ricevuto 519 stelle. Un commit del codice sorgente che fa riferimento a “tcloud-python-test” è stato effettuato l’8 novembre 2023, indicando che il pacchetto è disponibile per il download su PyPI da allora, con 793 download fino ad oggi, secondo le statistiche di pepy.tech.

Minacce più ampie nel panorama dei pacchetti

Questa divulgazione arriva mentre Fortinet FortiGuard Labs ha scoperto migliaia di pacchetti su PyPI e npm, alcuni dei quali contengono script di installazione sospetti progettati per distribuire codice malevolo durante l’installazione o per comunicare con server esterni. “Gli URL sospetti sono un indicatore chiave di pacchetti potenzialmente malevoli, poiché spesso vengono utilizzati per scaricare payload aggiuntivi o stabilire comunicazioni con server di comando e controllo (C&C), dando agli attaccanti il controllo sui sistemi infetti,” ha dichiarato Jenna Wang. In 974 pacchetti, tali URL sono collegati al rischio di esfiltrazione di dati, ulteriori download di malware e altre azioni malevole. È cruciale esaminare e monitorare gli URL esterni nelle dipendenze dei pacchetti per prevenire lo sfruttamento.

 

Fonte: The Hackers News

articolo originale

Ricevi le ultime attualità sul mondo tech!

Julie Maddaloni
Julie Maddaloni
Ciao! Sono una blogger appassionata di tecnologia e delle news dei mondi Apple e Android. Amo scoprire le ultime novità del settore e condividere storie e consigli utili con chi, come me, è sempre alla ricerca delle ultime novità. Quando non sono immersa tra recensioni e aggiornamenti tech, mi rilasso con una buona pizza e una maratona di serie TV! 🍕📱💙
RELATED ARTICLES

Ultimi articoli