Một gói không hoạt động có sẵn trên kho lưu trữ Python Package Index (PyPI) đã được cập nhật gần hai năm để truyền bá một phần mềm độc hại đánh cắp thông tin có tên Nova Sentinel.
Gói này, có tên django-log-tracker, lần đầu tiên được xuất bản lên PyPI vào tháng 4/2022, theo công ty bảo mật chuỗi cung ứng phần mềm Phylum, đã phát hiện một bản cập nhật bất thường cho thư viện vào ngày 21/2/2024.
Mặc dù kho lưu trữ GitHub được liên kết chưa được cập nhật kể từ ngày 10 tháng 4 năm 2022, nhưng việc giới thiệu bản cập nhật độc hại cho thấy khả năng xâm phạm tài khoản PyPI thuộc về nhà phát triển.
Django-log-tracker đã được tải xuống 3.866 lần cho đến nay, với phiên bản giả mạo (1.0.4) được tải xuống 107 lần vào ngày nó được xuất bản. Gói này không còn có sẵn để tải xuống từ PyPI.
"Trong bản cập nhật độc hại, kẻ tấn công đã tước gói hầu hết nội dung gốc của nó, chỉ để lại một tệp __init__.py và example.py", công ty cho biết.
Những thay đổi, đơn giản và tự giải thích, liên quan đến việc tìm nạp một tệp thực thi có tên "Updater_1.4.4_x64.exe" từ một máy chủ từ xa ("45.88.180 [.] 54"), tiếp theo là khởi chạy nó bằng hàm Python os.startfile().
Về phần mình, tệp nhị phân được nhúng với Nova Sentinel, một phần mềm độc hại đánh cắp lần đầu tiên được Sekoia ghi nhận vào tháng 11/2023 là được phân phối dưới dạng các ứng dụng Electron giả mạo trên các trang web không có thật cung cấp tải xuống trò chơi điện tử.
"Điều thú vị về trường hợp cụ thể này [...] là vectơ tấn công dường như là một cuộc tấn công chuỗi cung ứng thông qua một tài khoản PyPI bị xâm nhập", Phylum nói.
"Nếu đây là một gói thực sự phổ biến, bất kỳ dự án nào có gói này được liệt kê là phụ thuộc mà không có phiên bản được chỉ định hoặc phiên bản linh hoạt được chỉ định trong tệp phụ thuộc của họ sẽ kéo phiên bản mới nhất, độc hại của gói này."