Genom att gömma skadlig kod i PyPI, den officiella katalogen över Python-paket, hoppas hackare kunna ge sig på slarviga utvecklare. Under sommaren har det dykt upp en rad felstavade paket som innehåller en otrevlig överraskning, skriver Arstechnica.
Den här typen av attackerar brukar kallas ”fulregistrering", eller "typo squatting". De går i regel ut på att registrera webbadresser som är snarlika populära sajters, så att den som stavar fel hamnar på en sida som exempelvis sprider skadlig kod. Men det går förstås lika bra med Python-moduler.
Angreppet fungerar utmärkt eftersom vanliga installationsverktyg som pip inte har några inbyggda säkerhetsåtgärder. Skriver du exempelvis "pip install acqusition" i kommandoraden följer pip order, trots att du ber om ett felstavat paket med skadlig kod ombord.
De felstavade paketen i PyPI upptäcktes av den slovakiska it-säkerhetsmyndigheten och har drabbat åtminstone tio vanliga Python 2-paket.
Läs också: Lär av Spotify för att lyckas med it-driften
Lyckligtvis verkar den här attacken vara ganska snäll, det enda den skadliga koden gör är att skicka en del metadata om ditt användarkonto vidare till hackarna. Men med samma knep skulle det vara enkelt att sprida betydligt elakare last.
Här är felstavningarna du ska passa dig för:
- acqusition (utger sig för att vara acquisition)
- apidev-coop (utger sig för att vara apidev-coop_cms)
- bzip (utger sig för att vara bz2file)
- crypt (utger sig för att vara crypto)
- django-server (utger sig för att vara django-server-guardian-api)
- pwd (utger sig för att vara pwdhash)
- setup-tools (utger sig för att vara setuptools)
- telnet (utger sig för att vara telnetsrvlib)
- urlib3 (utger sig för att vara urllib3)
- urllib (utger sig för att vara urllib3)
Efter att PyPI informerades om dubbelgångarna har paketen tagits ned, men det hjälper förstås inte de som redan installerat dem.
Läs också: Så här ska internets framtid säkras
Konceptet, som dubbats pytosquatting, är inte helt nytt. Redan förra året lyckades en tysk universitetsstudent visa hur han kunde sprida sin kod till över 17 000 utvecklare genom att lägga upp den som felstavade paket på PyPI. En hackare som bidar sin tid och inte har ett specifikt mål i sikte kan alltså säkerligen hitta ett och annat offer den här vägen.
