Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Miner nel pacchetto di installazione Python

Si tratta dell’ennesimo caso atto a promuovere la discussione sulla sicurezza informatica del software open source e delle sue supply chain. Forse è giunto il momento di passare ad un utilizzo attivo di queste tecnologie, inteso non più solo come sfruttamento passivo, sul quale basare il proprio business

Ora, insieme all’indice del pacchetto per Python, puoi installare anche un miner.

I ricercatori di Sonatype hanno scoperto un pacchetto dannoso nel repository di software di terze parti Python ufficiale che distribuisce i cryptominer sui sistemi Linux.

Un miner di Monero nel PyPI

Un modulo dannoso chiamato “secretslib” è stato infatti incluso nel Python Package Index (PyPI) il 6 agosto 2022 e ha avuto 93 download prima di essere rimosso.

Una volta installato, il pacchetto esegue segretamente il cryptominer Monero nella RAM, un metodo abbastanza popolare utilizzato principalmente da malware e ransomware fileless.

In effetti, i ricercatori osservano nel loro rapporto che il malware non lascia praticamente tracce ed è completamente “invisibile” dal punto di vista dell’esame forense.

Inoltre, l’attaccante che ha scaricato il pacchetto era presumibilmente sofisticato e, per dare credibilità al malware, ha finto di essere un legittimo ingegnere del software impiegato presso l’Argonne National Laboratory, che opera nell’interesse del Dipartimento dell’Energia degli Stati Uniti.

Fortunatamente il piano globale non si è concretizzato, ma questo è tutt’altro che il primo tentativo di attaccare le catene di approvvigionamento open source, sostituendo pacchetti dannosi.

Alcuni giorni fa, si è visto come i ricercatori di Check Point hanno scoperto altri dieci pacchetti dannosi in PyPI che consentivano agli aggressori di rubare dati personali e informazioni di autenticazione degli utenti.

Un tema ricorrente e particolarmente sensibile che porta alla luce l’annosa discussione sulla sicurezza del software open source. Se ci devono essere investimenti e aiuti in tal senso, andrebbero destinati proprio a seguire le supply chain di questa tipologia di software, essenziale per la vita digitale attuale. Non è sufficiente rivolgere occhi e orecchie verso l’open source solamente per prendere, è giunto il momento, per tutti coloro che basano il proprio business su questi modelli, di investigare e indagare il software che si sta utilizzando, per contribuire a rendere l’open source sempre pulito ed efficiente, senza lasciare che sia una ristretta cerchia di community ad occuparsene.