Ett stavfel – och din dator är hackad

Att råka skriva fel när man installerar en mjukvara kan låta harmlöst. Men just den vanan utnyttjas nu av hackare i ett nytt, sofistikerat angrepp som kan ge dem full kontroll över din dator. Det visar en färsk rapport från säkerhetsbolaget Checkmarx.

Falska paket infekterar utvecklares system

Det nya angreppet riktar sig främst mot utvecklare som använder programmeringsspråken Python och JavaScript. Hackarna har laddat upp skadlig kod i form av falska paket med namn som liknar populära bibliotek – som exempelvis Python-paketet Colorama eller JavaScript-verktyget Colorizr.

Bara en liten stavningsmiss, som att skriva col0rama eller coloramaa, kan leda till att utvecklaren i stället laddar ned en infekterad version – och därmed ger hackaren en fot in i systemet, det varnar sajten Trend för. 

Två språk, samma attack

Enligt Checkmarx forskare Ariel Harush handlar det om ett så kallat typosquatting-angrepp – en metod där angriparen medvetet lägger upp bibliotek med nästan identiska namn som de legitima.

Läs också: Använder du Google Chrome? Då har vi goda nyheter

Det ovanliga i just detta fall är att angriparna blandar namn mellan olika ekosystem. De använder namn som låter JavaScript-relaterade – men riktar in sig på Python-användare. Det tyder på en mer avancerad och möjligen samordnad attack än vad man normalt ser.

Skadlig kod smyger sig in

När dessa falska paket installeras händer mycket under ytan. På Windows-system sätter skadlig kod upp automatiska uppgifter som körs i bakgrunden, samlar in känslig information – och försöker till och med stänga av antivirusprogram med PowerShell-kommandon.

På Linux-sidan hittade forskarna falska paket som innehåller krypterade reverse shells, som kan kommunicera via Telegram, Discord och överföra data till externa tjänster som Pastebin.

Koden är dessutom designad för att vara svår att upptäcka. Den maskerar sig som systemprocesser och använder startfiler som rc.local och crontabs för att återaktiveras vid omstart.

Läs också: Varning: Ännu en Google Pixel-telefon har smält under laddning

Paketen borttagna – men hotet lever vidare

De falska biblioteken har nu tagits bort från de officiella pakethanterarna som PyPI. Men enligt Checkmarx är hotet långt ifrån över. Tekniken bakom attacken är fortfarande aktiv och kan lätt användas igen – med andra paketnamn eller nya variationer.

Därför uppmanas utvecklare och organisationer att se över sina verktyg och installationer. Säkerhetsambassadören Darren Meyer understryker vikten av att granska koden, kontrollera vilka paket som används, och blockera kända hot i sina egna system.

Så skyddar du dig mot typosquatting

• Dubbelkolla alltid paketnamn innan installation
  
• Installera bara från officiella och verifierade källor
  
• Granska tredjepartspaket regelbundet
  
• Håll ditt system och antivirus uppdaterat
  
• Rapportera misstänkta paket till ansvariga plattformar
  

Det krävs inte mycket för att falla i fällan – ibland räcker det med ett extra "a" på tangentbordet. Så nästa gång du installerar ett bibliotek, tänk efter en gång till. Det kan vara skillnaden mellan en säker kodmiljö och fullständig kompromiss.

Läs också: Goda nyheter för svenskar med dessa Samsung Galaxy-klockor

Läs också: Bilhandlare avslöjar: Så använder du knappen på rätt sätt