Byl nalezen škodlivý balíček objevený na Python Package Index (PyPI) využívající steganografický trik ke skrytí škodlivého kódu v souborech obrázků.

Dotyčný balíček s názvem „apicolor“ byl nahrán do úložiště třetích stran Pythonu 31. října 2022 a podle izraelské kybernetické firmy Check Point byl popsán jako „Core lib for REST API“. Od té doby byla stažen.

Apicolor, stejně jako ostatní nedávno zjištěné nepoctivé balíčky, skrývá své škodlivé chování v instalačním skriptu používaném k určení metadat spojených s balíčkem, jako jsou jeho závislosti.

To má podobu druhého balíčku s názvem „judyb“ a také zdánlivě neškodného souboru PNG („8F4D2uF.png“) hostovaného na Imgur, službě pro sdílení obrázků.

Útokový řetězec zahrnuje použití balíčku judyb k extrahování upraveného kódu Pythonu vloženého do staženého obrázku, který je po dekódování navržen tak, aby načetl a spustil škodlivý binární soubor ze vzdáleného serveru.

Vývoj je součástí pokračujícího trendu, kdy aktéři hrozeb stále více zaměřují svůj zrak na open source ekosystém, aby využili důvěru spojenou se softwarem třetích stran k útokům na dodavatelský řetězec.

Ještě znepokojivější je, že takové škodlivé knihovny mohou být začleněny do jiných open source projektů a publikovány na GitHubu, čímž se účinně rozšiřuje rozsah a dosah útoků.

Zdroj: thehackernews.com