นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุแพ็คเกจที่เป็นอันตรายบนพื้นที่เก็บข้อมูล Python Package Index (PyPI) แบบโอเพ่นซอร์สซึ่งส่งมัลแวร์ขโมยข้อมูลที่เรียกว่า WhiteSnake Stealer บนระบบ Windows

แพ็คเกจที่ติดมัลแวร์มีชื่อว่า nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends และ TestLibs111 แพ็คเกจเหล่านี้ถูกอัพโหลดโดยผู้คุกคามชื่อ "WS"

แพ็คเกจจะรวมซอร์สโค้ดที่เข้ารหัส Base64 ของ PE หรือสคริปต์ Python อื่น ๆ ไว้ในไฟล์ setup.py ขึ้นอยู่กับระบบปฏิบัติการของอุปกรณ์ของเหยื่อ ซึ่ง Malicious payload จะ drop และถูกรัน(execute) เมื่อมีการติดตั้งแพ็คเกจ Python เหล่านี้

แม้ว่า Windows จะติดมัลแวร์ WhiteSnake Stealer แต่เครื่อง Linux ที่ถูกบุกรุก (compromise) จะได้รับสคริปต์ Python ที่ออกแบบมาเพื่อรวบรวมข้อมูลของเครื่อง กิจกรรมดังกล่าวซึ่งมีเป้าหมายเป็นผู้ใช้ Windows เป็นหลัก ทับซ้อนกับแคมเปญก่อนหน้านี้ที่ JFrog และ Checkmarx เปิดเผยเมื่อปีที่แล้ว

Payload เฉพาะของ Windows ถูกระบุว่าเป็นตัวแปรของมัลแวร์ WhiteSnake ซึ่งมีกลไก Anti-VM สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้โปรโตคอล Tor และสามารถขโมยข้อมูลจากเหยื่อและสั่งคำสั่งมี่เป็นอันตรายได้ มัลแวร์ยังได้รับการออกแบบมาเพื่อรวบรวมข้อมูลจากเว็บเบราว์เซอร์ กระเป๋าเงินดิจิทัล และแอปต่างๆ เช่น WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal และ Telegram

Checkmarx กำลังติดตามผู้ไม่หวังดี(Threat actor) ที่อยู่เบื้องหลังแคมเปญภายใต้ชื่อ PYTA31 โดยมีเป้าหมายคือการขโมย Sensitive data และข้อมูลกระเป๋าเงินดิจิทัลโดยเฉพาะจากเครื่องเป้าหมาย

วิธีตรวจสอบแพ็คเกจ PyPI ว่าปลอดภัยหรือไม่

• ตรวจสอบว่าแพ็คเกจมาจากแหล่งที่เชื่อถือได้
• อ่านเอกสารของแพ็คเกจ เอกสารของแพ็คเกจสามารถให้ข้อมูลเกี่ยวกับความปลอดภัยของแพ็คเกจได้
• ใช้เครื่องมือตรวจสอบมัลแวร์เพื่อสแกนแพ็คเกจ เครื่องมือตรวจสอบมัลแวร์สามารถช่วยระบุมัลแวร์ที่ซ่อนอยู่ในแพ็คเกจ เช่น Malware analysis, Sandbox, Endpoint protection

อ้างอิง

https://thehackernews.com/2024/01/malicious-pypi-packages-slip-whitesnake.html

‍