Οι χάκερ του TeamPCP παραβίασαν το πακέτο Telnyx στο Ευρετήριο Πακέτων Python σήμερα, ανεβάζοντας κακόβουλες εκδόσεις που παρέχουν κακόβουλο λογισμικό κλοπής διαπιστευτηρίων κρυμμένο μέσα σε ένα αρχείο WAV.
Η επίθεση της εφοδιαστικής αλυσίδας παρατηρήθηκε από τη σύγχρονη ασφάλεια εφαρμογών Aikido, Υποδοχήκαι Endor Labsκαι αποδόθηκε στο TeamPCP με βάση το ίδιο μοτίβο διήθησης και το ίδιο κλειδί RSA που παρατηρήθηκε σε προηγούμενα περιστατικά που προκλήθηκαν από τον ίδιο ηθοποιό.
Το TeamPCP είναι υπεύθυνο για πολλαπλές πρόσφατες εφοδιαστικές αλυσίδες (π.χ., ο σαρωτής ευπάθειας Trivy της Aqua Security, η βιβλιοθήκη Python ανοιχτού κώδικα LiteLLM) και επιθέσεις υαλοκαθαριστήρων που στοχεύουν ιρανικά συστήματα.
Νωρίτερα σήμερα, ο ηθοποιός της απειλής δημοσίευσε τις backdoored εκδόσεις του πακέτου Telnyx 4.87.1 και 4.87.2. Σε Linux και macOS, η κακόβουλη έκδοση απορρίπτει κακόβουλο λογισμικό που κλέβει κλειδιά SSH, διαπιστευτήρια, διακριτικά cloud, πορτοφόλια κρυπτονομισμάτων, μεταβλητές περιβάλλοντος και άλλους τύπους μυστικών.
Στα Windows, το κακόβουλο λογισμικό απορρίπτεται για επιμονή στον φάκελο εκκίνησης, που εκτελείται σε κάθε σύνδεση.
Το πακέτο Telnyx PyPI είναι το επίσημο κιτ ανάπτυξης λογισμικού Python (SDK) που επιτρέπει στους προγραμματιστές να ενσωματώνουν υπηρεσίες επικοινωνίας Telnyx όπως VoIP, μηνύματα (SMS, MMS, WhatsApp), φαξ και συνδεσιμότητα IoT στις εφαρμογές τους.
Το πακέτο είναι πολύ δημοφιλές, έχοντας πάνω από 740.000 λήψεις το μήνα στο PyPI.
Οι ερευνητές ασφαλείας πιστεύουν ότι οι χάκερ παραβίασαν το έργο χρησιμοποιώντας κλεμμένα διαπιστευτήρια για τον λογαριασμό δημοσίευσης στο μητρώο PyPI.
Αρχικά, το TeamPCP δημοσίευσε την έκδοση Telnyx 4.87.1 στις 03:51 UTC, αλλά το πακέτο είχε ένα κακόβουλο αλλά μη λειτουργικό ωφέλιμο φορτίο. Ο ηθοποιός της απειλής διόρθωσε το σφάλμα περίπου μια ώρα αργότερα στις 04:07 UTC δημοσιεύοντας την έκδοση 4.87.2 του Telnyx.
Ο κακόβουλος κώδικας περιέχεται στο “telnyx/_client.py‘, το οποίο ενεργοποιείται αυτόματα κατά την εισαγωγή, ενώ επιτρέπει στις νόμιμες κλάσεις SDK να λειτουργούν όπως αναμένεται.
Σε συστήματα Linux και macOS, το ωφέλιμο φορτίο δημιουργεί μια αποσπασμένη διαδικασία που κατεβάζει ένα δεύτερο στάδιο μεταμφιεσμένο σε αρχείο ήχου WAV (ringtone.wav) από έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2).
Πηγή: Endor Labs
Με τη χρήση στεγανογραφίας, ο παράγοντας απειλών ενσωμάτωσε κακόβουλο κώδικα στα πλαίσια δεδομένων του αρχείου χωρίς να αλλάξει τον ήχο. Το ωφέλιμο φορτίο εξάγεται χρησιμοποιώντας μια απλή ρουτίνα αποκρυπτογράφησης που βασίζεται σε XOR και εκτελείται στη μνήμη για τη συλλογή ευαίσθητων δεδομένων από τον μολυσμένο κεντρικό υπολογιστή.
Εάν το Kubernetes εκτελείται στο μηχάνημα, το κακόβουλο λογισμικό απαριθμεί μυστικά συμπλέγματος και αναπτύσσει προνομιούχα pods σε κόμβους, προσπαθώντας να αποκτήσει πρόσβαση στα υποκείμενα συστήματα κεντρικού υπολογιστή.
Σε συστήματα Windows, το κακόβουλο λογισμικό κατεβάζει ένα διαφορετικό αρχείο WAV (hangup.wav) που εξάγει ένα εκτελέσιμο αρχείο με το όνομα msbuild.exe.
Το εκτελέσιμο αρχείο τοποθετείται στο φάκελο “Εκκίνηση” για επιμονή στις επανεκκινήσεις του συστήματος, ενώ ένα αρχείο κλειδώματος περιορίζει την επαναλαμβανόμενη εκτέλεση εντός παραθύρων 12 ωρών.
Οι ερευνητές προειδοποιούν ότι το Telnyx SDK έκδοση 4.87.0 είναι η καθαρή παραλλαγή που περιλαμβάνει τον νόμιμο κώδικα Telnyx χωρίς αλλαγές. Συνιστάται στους προγραμματιστές να επιστρέψουν σε αυτήν την έκδοση εάν βρουν τις εκδόσεις Telnyx 4.87.1 και 4.87.2 στο περιβάλλον τους.
Οποιοδήποτε σύστημα εισήγαγε τις εκδόσεις κακόβουλων πακέτων θα πρέπει να αντιμετωπίζεται ως πλήρως παραβιασμένο, καθώς το ωφέλιμο φορτίο εκτελείται κατά το χρόνο εκτέλεσης και ενδέχεται να έχει ήδη διεξαγάγει ευαίσθητα δεδομένα. Σε τέτοια περιστατικά, συνιστάται η εναλλαγή όλων των μυστικών το συντομότερο δυνατό.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
