Kutatásnak azért kicsit durva

Érdekes, kutatásnak tűnő tevékenységre lettek figyelmesek azok, akik jól olvasnak a sorok között.

Egy magát “RemindSupplyChainRisks” -nek hívó ismeretlen személy több ezer valósnak tűnő Python csomagot töltött fel a nészerű PyPi Python könyvtárba. A kutatás célja az lehet, hogy felhívja a figyelmet az ellátási láncokkal kapcsolatos veszélyekre, illetve arra, hogy milyen következményekkel járhat akár egy betűtévesztés is akkor, amikor idegen forrásból származó kódokat használunk fel saját programunkhoz.

A feltételezett kutató elgondolása szerint a felhasználók elgépelik a legnépszerűbb Python csomagok nevét, amikor azokat a PIP paranccsal letöltik. A bizonyításra több ezer olyan csomag került feltöltésre, melyeknek nevei alig különböznek az eredeti csomagtól, ám ha az elütés, elgépelés miatt a felhasználók ezeket a csomagokat töltik le, akkor egy üzenetet kapnak, miszerint az elkövető fel szeretné hívni a figyelmet az ellátási lánc támadások veszélyeire.

# the purpose is to make everyone pay attention to software supply chain attacks, because the risks are too great.

Az üzeneten felül, minden telepített csomag elküld egy GET kérést a ” http://101.32.99[.]28/name? — CSOMAG NEVE—-” URL felé.

Többek szerint – akár kutatásról van szó, akár nem – ez az eljárás túl van az etikusság határán.
Minden esetre azok, akik Python fejlesztéssel foglalkoznak, keressenek rá a logokban a 101.32.99[.]28 IP címre.

Hasonló – elgépeléses avagy typosquatting- kutatás már zajlott korábban is, bár akkor kisebb mértékben.

Források:

Twitter

GitHub

Korábbi kutatás