TeamPCP įsilaužėliai šiandien pakenkė Telnyx paketui Python Package Index, įkeldami kenkėjiškas versijas, kurios pateikia WAV faile paslėptą kredencialus vagiančią kenkėjišką programą.
Tiekimo grandinės ataka buvo pastebėta šiuolaikinių programų saugumo „Aikido“, „Socket“ ir „Endor Labs“ ir buvo priskirta TeamPCP, remiantis tuo pačiu išfiltravimo modeliu ir RSA raktu, kuris buvo pastebėtas ankstesniuose incidentuose, kuriuos sukėlė tas pats veikėjas.
TeamPCP yra atsakinga už daugybę naujausių tiekimo grandinių (pvz., „Aqua Security“ pažeidžiamumo skaitytuvo „Trivy“, atvirojo kodo Python bibliotekos LiteLLM) ir valytuvų atakas, nukreiptas į Irano sistemas.
Anksčiau šiandien grėsmės veikėjas paskelbė Telnyx paketo 4.87.1 ir 4.87.2 versijas su užpakalinėmis durimis. „Linux“ ir „MacOS“ sistemose kenkėjiška versija pašalina kenkėjiškas programas, kurios vagia SSH raktus, kredencialus, debesies prieigos raktus, kriptovaliutų pinigines, aplinkos kintamuosius ir kitų tipų paslaptis.
Sistemoje „Windows“ kenkėjiška programa pašalinama, kad ji išliktų paleisties aplanke, veikianti kiekvieną kartą prisijungus.
Telnyx PyPI paketas yra oficialus Python programinės įrangos kūrimo rinkinys (SDK), leidžiantis kūrėjams į savo programas integruoti Telnyx ryšio paslaugas, tokias kaip VoIP, pranešimų siuntimas (SMS, MMS, WhatsApp), fakso ir daiktų interneto ryšį.
Paketas yra labai populiarus, per mėnesį PyPI atsisiunčiama daugiau nei 740 000 kartų.
Saugumo tyrinėtojai mano, kad įsilaužėliai pažeidė projektą naudodamiesi pavogtais leidybos paskyra PyPI registre.
Iš pradžių TeamPCP paskelbė Telnyx 4.87.1 versiją 03:51 UTC, tačiau paketas turėjo kenkėjišką, bet neveikiantį naudingą apkrovą. Grėsmės veikėjas klaidą ištaisė maždaug po valandos, 04:07 UTC, paskelbdamas Telnyx 4.87.2 versiją.
Kenkėjiškas kodas yra „telnyx/_client.py“ failą, kuris suaktyvinamas automatiškai importuojant, leidžiant teisėtoms SDK klasėms veikti taip, kaip tikėtasi.
„Linux“ ir „MacOS“ sistemose naudingoji apkrova sukuria atskirą procesą, kuris iš nuotolinio komandų ir valdymo (C2) serverio atsisiunčia antrąjį etapą, paslėptą kaip WAV garso failą (ringtone.wav).
Šaltinis: Endor Labs
Naudodamas steganografiją, grėsmės veikėjas įterpė kenkėjišką kodą į failo duomenų rėmelius nepakeitęs garso. Naudinga apkrova išgaunama naudojant paprastą XOR pagrįstą iššifravimo tvarką ir vykdoma atmintyje, kad būtų surinkti jautrūs duomenys iš užkrėsto pagrindinio kompiuterio.
Jei įrenginyje veikia „Kubernetes“, kenkėjiška programa išvardija klasterio paslaptis ir diegia privilegijuotus blokus visuose mazguose, bandydama pasiekti pagrindines pagrindines sistemas.
„Windows“ sistemose kenkėjiška programa atsisiunčia kitą WAV failą (hangup.wav), kuris ištraukia vykdomąjį failą pavadinimu msbuild.exe.
Vykdomasis failas įdedamas į paleisties aplanką, kad sistema išliktų perkraunant sistemą, o užrakto failas riboja pakartotinį vykdymą per 12 valandų langus.
Tyrėjai perspėja, kad Telnyx SDK versija 4.87.0 yra švarus variantas, kuriame yra teisėtas Telnyx kodas be jokių pakeitimų. Kūrėjams primygtinai rekomenduojama grįžti prie šio leidimo, jei jie savo aplinkoje randa Telnyx 4.87.1 ir 4.87.2 versijas.
Bet kuri sistema, kuri importavo kenkėjiškas paketų versijas, turėtų būti traktuojama kaip visiškai pažeista, nes naudingoji apkrova vykdoma vykdymo metu ir jau gali būti išfiltravusi neskelbtinus duomenis. Tokiais atvejais rekomenduojama kuo greičiau pasukti visas paslaptis.
Automatinis pentestavimas įrodo, kad kelias egzistuoja. BAS įrodo, ar jūsų valdikliai tai sustabdo. Dauguma komandų bėga viena be kitos.
Šiame dokumente pateikiami šeši patvirtinimo paviršiai, parodoma, kur baigiasi aprėptis, ir pateikiami gydytojai trys diagnostiniai klausimai, skirti įvertinti bet kokį įrankį.
