Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Python

Python

PyPI Mengumumkan Kebijakan Untuk Wajib Menggunakan 2FA Bagi Semua Software Publisher

by

PyPI, mengumumkan penggunaan otentikasi dua faktor (2FA) yang wajib bagi semua penerbit perangkat lunak. Langkah ini diambil untuk meningkatkan keamanan platform dan melindungi pengguna dari serangan peretasan.

PyPI adalah repositori sentral yang digunakan oleh pengembang Python untuk mengunggah dan mendistribusikan paket-paket perangkat lunak mereka. Dalam upaya untuk melindungi integritas dan keaslian paket yang tersedia di platform ini, PyPI telah memperkenalkan kebijakan baru yang mewajibkan penerbit perangkat lunak untuk menggunakan 2FA saat mengakses akun mereka.

Dengan menerapkan 2FA, pengguna harus memasukkan dua bentuk verifikasi saat login, biasanya berupa kombinasi antara kata sandi dan kode unik yang dihasilkan oleh aplikasi autentikasi di ponsel mereka. Dengan cara ini, kendali akses yang lebih kuat dapat diberikan kepada pemilik akun dan mengurangi risiko penyalahgunaan oleh pihak yang tidak sah.

Langkah ini merupakan langkah yang penting dalam meningkatkan keamanan lingkungan pengembangan Python. Dengan memaksa pengguna untuk menggunakan 2FA, PyPI berharap dapat mencegah serangan peretasan dan kebocoran data yang mungkin terjadi jika akun penerbit perangkat lunak dicuri atau disusupi.

Selengkapnya: Bleeping Computer

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

by

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

PyTorch mengungkapkan kompromi rantai ketergantungan berbahaya selama liburan

by

PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.

Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.

Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.

Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.

Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.

“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.

Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.

“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.

Selengkapnya: Bleeping Computer

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

by

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

by

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

Fitur PyPI Mengeksekusi Kode Secara Otomatis Setelah Unduhan Paket Python

by

Dalam temuan lain yang dapat mengekspos pengembang pada peningkatan risiko serangan supply chain (rantai pasokan), telah muncul bahwa hampir sepertiga dari paket di PyPI, Indeks Paket Python, memicu eksekusi kode otomatis setelah mengunduhnya.

Salah satu cara menginstal paket untuk Python adalah dengan menjalankan perintah “pip install”, yang, pada gilirannya, memanggil file bernama “setup.py” yang disertakan bersama modul.

“setup.py,” seperti namanya, adalah skrip penyiapan yang digunakan untuk menentukan metadata yang terkait dengan paket, termasuk dependensinya.

Sementara pelaku ancaman telah menggunakan kode berbahaya dalam file setup.py, Checkmarx menemukan bahwa musuh dapat mencapai tujuan yang sama dengan menjalankan apa yang disebut perintah “pip download”.

“pip download melakukan resolusi dan pengunduhan yang sama dengan pemasangan pip, tetapi alih-alih menginstal dependensi, ia mengumpulkan distribusi yang diunduh ke direktori yang disediakan (secara default ke direktori saat ini),” tulis dokumentasi.

Dengan kata lain, perintah tersebut dapat digunakan untuk mengunduh paket Python tanpa harus menginstalnya di sistem. Tetapi ternyata, menjalankan perintah unduhan juga menjalankan skrip “setup.py” yang disebutkan di atas, yang mengakibatkan eksekusi kode berbahaya yang terkandung di dalamnya.

Namun, perlu diperhatikan bahwa masalah hanya terjadi ketika paket berisi file tar.gz alih-alih file wheel (.whl), yang “memotong eksekusi ‘setup.py’ dari persamaan.”

Meskipun pip default untuk menggunakan roda alih-alih file tar.gz, penyerang dapat memanfaatkan perilaku ini untuk secara sengaja menerbitkan paket python tanpa file .whl, yang mengarah ke eksekusi kode berbahaya yang ada di skrip pengaturan.

“Ketika pengguna mengunduh paket python dari PyPi, pip akan lebih memilih menggunakan file .whl, tetapi akan kembali ke file tar.gz jika file .whl tidak ada,” kata Gelb.

Temuan itu muncul saat Badan Keamanan Nasional AS (NSA), bersama dengan Badan Keamanan Siber dan Infrastruktur (CISA) dan Kantor Direktur Intelijen Nasional (ODNI), merilis panduan untuk mengamankan supply chain perangkat lunak.

Sumber: The Hackernews

Repositori open source dapat menjadi vektor untuk kejahatan

by

Seorang peneliti telah menemukan paket palsu yang diunduh sekitar 5.000 kali dari repositori resmi Python berisi kode rahasia yang menginstal perangkat lunak cryptomining pada mesin yang terinfeksi.

Paket berbahaya, yang tersedia di repositori PyPI, dalam banyak kasus menggunakan nama yang meniru paket yang sah dan sering digunakan secara luas yang sudah tersedia di sana, Ax Sharma, seorang peneliti di perusahaan keamanan Sonatype melaporkan. Serangan typosquatting berhasil ketika target secara tidak sengaja salah mengetik nama seperti mengetik “mplatlib” atau “maratlib” alih-alih paket matplotlib yang sah dan populer.

Sharma mengatakan dia menemukan enam paket yang menginstal perangkat lunak cryptomining yang akan menggunakan sumber daya komputer yang terinfeksi untuk menambang cryptocurrency dan menyimpannya di dompet penyerang. Keenamnya diterbitkan oleh seseorang yang menggunakan nama pengguna PyPI nedog123, dalam beberapa kasus pada awal April. Paket dan nomor unduhan adalah:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Kode berbahaya terkandung dalam file setup.py dari masing-masing paket diatas. Ini menyebabkan komputer yang terinfeksi menggunakan ubqminer atau kriptominer T-Rex untuk menambang koin digital dan menyimpannya di alamat berikut: 0x510aec7f266557b7de753231820571b13eb31b57.

Selengkapnya: Ars Technica

Bahasa pemrograman Python mempercepat pembaruan untuk mengatasi kerentanan kode jarak jauh

by

Python Software Foundation (PSF) telah meluncurkan Python 3.9.2 dan 3.8.8 untuk mengatasi dua kelemahan keamanan yang terkenal, termasuk satu yang dapat dieksploitasi dari jarak jauh tetapi dalam istilah praktis hanya dapat digunakan untuk menjatuhkan mesin secara offline.

PSF mendesak asosiasi pengguna Python untuk meningkatkan sistem ke Python 3.8.8 atau 3.9.2, khususnya untuk mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang dilacak sebagai CVE-2021-3177.

Proyek ini mempercepat perilisan setelah menerima tekanan tak terduga dari beberapa pengguna yang mengkhawatirkan kelemahan keamanan.

Python 3.x hingga 3.9.1 memiliki buffer overflow di PyCArg_repr di ctypes/callproc.c, yang dapat menyebabkan eksekusi kode jarak jauh.

Ini mempengaruhi aplikasi Python yang “menerima bilangan floating-point sebagai input tidak tepercaya, seperti yang ditunjukkan oleh argumen 1e300 ke c_double.from_param.”

Bug terjadi karena “sprintf” digunakan secara tidak aman. Dampaknya luas karena Python sudah diinstal sebelumnya dengan banyak distribusi Linux dan Windows 10.

Meskipun kerentanan eksekusi kode jarak jauh adalah berita buruk, RedHat mencatat bahwa “ancaman tertinggi dari kerentanan ini adalah ketersediaan sistem.” Dengan kata lain, penyerang kemungkinan hanya bisa melakukan serangan denial of service.

Selengkapnya: ZDNet