Se vi è mai capitato di lavorare con Virtual Environment di Python (vedi l’articolo della scorsa settimana su Kubelab) e di installare quindi eseguibili e librerie mediante il comando pip, il repository da cui questi pacchetti sono stati scaricati è PyPI.

Abbreviazione di Python Package Index, PyPI è uno strumento fondamentale per la comunità Python, in quanto consente agli sviluppatori di condividere il proprio codice, facilitando la distribuzione e la gestione delle dipendenze dei progetti.

Quando un programmatore desidera utilizzare una libreria o un modulo Python già sviluppato da qualcun altro, come dicevamo può semplicemente usare pip per scaricare e installare il pacchetto dal PyPI, insieme a tutte le sue dipendenze. Questo facilita notevolmente lo sviluppo software in Python, in quanto offre un accesso rapido e semplice a una vasta gamma di risorse e funzionalità già sviluppate dalla comunità.

Inevitabilmente però, quando all’interno di una tecnologia sono presenti un elemento “pacchetto” ed un elemento “utente”, vien da sé come la comodità di uno strumento si scontri con la questione sicurezza, poiché, si sa, nella rete nessun luogo è sicuro.

Hacker News ha raccontato di ben tre pacchetti contenenti crypto miners pronti ad infettare device Linux. La spiegazione della modalità dell’attacco è fornita da Fortinet, che in un dettagliato articolo spiega come tutto si basi sull’esecuzione di uno script shell richiamato da questo sito:

Tralasciando ogni tipo di reminiscenza di canzoni assurde dei primi anni 2000 associate al nome del sito, la modalità in fondo è quella che conosciamo molto bene: una volta che si esegue uno script .sh il limite è solo l’immaginazione.

La parte che però interessa maggiormente è logicamente la lista dei pacchetti malevoli, che è la seguente:

• modularseven-1.0
• driftme-1.0
• catme-1.0

Poiché come recita l’articolo:

The most deceptive aspect is that the attacker ensures that all these modifications are appended to the ~/.bashrc file, ensuring the reactivation of this malicious activity whenever the user initiates a new Bash shell session.

L’aspetto più preoccupante è che l’attaccante si assicura che tutte le modifiche vengano aggiunte al file ~/.bashrc, assicurando così che le attività malevole vengano riattivate ogni qualvolta l’utente avvia una nuova shell Bash.

Considerato come buona parte delle installazioni effettuate mediante pip risolvono le dipendenze in maniera automatica, probabilmente la soglia di attenzione su questa problematica non dovrebbe essere bassa.

Se avete dei file di dipendenze generati in automatico un check in questo senso potrebbe… Valere la pena.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.