Một gói độc hại được phát hiện trên Python Package Index (PyPI) đã được tìm thấy sử dụng một thủ thuật steganographic để che giấu mã độc hại trong các tệp hình ảnh.
Gói được đề cập, có tên là "apicolor", đã được tải lên kho lưu trữ của bên thứ ba Python vào ngày 31 tháng 10 năm 2022 và được mô tả là "Core lib cho API REST", theo công ty an ninh mạng Check Point của Israel. Nó đã bị gỡ xuống.
Apicolor, giống như các gói lừa đảo khác được phát hiện gần đây, chứa hành vi độc hại của nó trong tập lệnh thiết lập được sử dụng để chỉ định siêu dữ liệu được liên kết với gói, chẳng hạn như các phần phụ thuộc của nó.
Điều này có dạng gói thứ hai được gọi là "judyb" cũng như tệp PNG dường như vô hại ("8F4D2uF.png") được lưu trữ trên Imgur, một dịch vụ chia sẻ hình ảnh.
"Mã judyb hóa ra là một mô-đun steganography, chịu trách nhiệm [cho] ẩn và tiết lộ các thông điệp ẩn bên trong hình ảnh," Check Point giải thích.
Chuỗi tấn công đòi hỏi phải sử dụng gói judyb để trích xuất mã Python bị xáo trộn được nhúng trong hình ảnh đã tải xuống, khi giải mã, được thiết kế để truy xuất và thực thi một tệp nhị phân độc hại từ một máy chủ từ xa.
Sự phát triển này là một phần của xu hướng đang diễn ra, nơi các tác nhân đe dọa đang ngày càng đặt mục tiêu vào hệ sinh thái nguồn mở để khai thác niềm tin liên quan đến phần mềm của bên thứ ba để thực hiện các cuộc tấn công chuỗi cung ứng.
Đáng lo ngại hơn nữa, các thư viện độc hại như vậy có thể được tích hợp vào các dự án mã nguồn mở khác và được xuất bản trên GitHub, mở rộng phạm vi và quy mô của các cuộc tấn công một cách hiệu quả.
"Những phát hiện này phản ánh việc lập kế hoạch và suy nghĩ cẩn thận của một tác nhân đe dọa, người chứng minh rằng các kỹ thuật xáo trộn trên PyPI đã phát triển," công ty cho biết.