นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุแพ็คเกจที่เป็นอันตรายบนพื้นที่เก็บข้อมูล Python Package Index (PyPI) แบบโอเพ่นซอร์สซึ่งส่งมัลแวร์ขโมยข้อมูลที่เรียกว่า WhiteSnake Stealer บนระบบ Windows
แพ็คเกจที่ติดมัลแวร์มีชื่อว่า nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends และ TestLibs111 แพ็คเกจเหล่านี้ถูกอัพโหลดโดยผู้คุกคามชื่อ "WS"
แพ็คเกจจะรวมซอร์สโค้ดที่เข้ารหัส Base64 ของ PE หรือสคริปต์ Python อื่น ๆ ไว้ในไฟล์ setup.py ขึ้นอยู่กับระบบปฏิบัติการของอุปกรณ์ของเหยื่อ ซึ่ง Malicious payload จะ drop และถูกรัน(execute) เมื่อมีการติดตั้งแพ็คเกจ Python เหล่านี้
แม้ว่า Windows จะติดมัลแวร์ WhiteSnake Stealer แต่เครื่อง Linux ที่ถูกบุกรุก (compromise) จะได้รับสคริปต์ Python ที่ออกแบบมาเพื่อรวบรวมข้อมูลของเครื่อง กิจกรรมดังกล่าวซึ่งมีเป้าหมายเป็นผู้ใช้ Windows เป็นหลัก ทับซ้อนกับแคมเปญก่อนหน้านี้ที่ JFrog และ Checkmarx เปิดเผยเมื่อปีที่แล้ว
Payload เฉพาะของ Windows ถูกระบุว่าเป็นตัวแปรของมัลแวร์ WhiteSnake ซึ่งมีกลไก Anti-VM สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้โปรโตคอล Tor และสามารถขโมยข้อมูลจากเหยื่อและสั่งคำสั่งมี่เป็นอันตรายได้ มัลแวร์ยังได้รับการออกแบบมาเพื่อรวบรวมข้อมูลจากเว็บเบราว์เซอร์ กระเป๋าเงินดิจิทัล และแอปต่างๆ เช่น WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal และ Telegram
Checkmarx กำลังติดตามผู้ไม่หวังดี(Threat actor) ที่อยู่เบื้องหลังแคมเปญภายใต้ชื่อ PYTA31 โดยมีเป้าหมายคือการขโมย Sensitive data และข้อมูลกระเป๋าเงินดิจิทัลโดยเฉพาะจากเครื่องเป้าหมาย
วิธีตรวจสอบแพ็คเกจ PyPI ว่าปลอดภัยหรือไม่
อ้างอิง
https://thehackernews.com/2024/01/malicious-pypi-packages-slip-whitesnake.html
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว