นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

แพ็กเกจอันตรายของ PyPi ใช้ชื่อว่า pytoileur และถูกอัปโหลดโดยผู้ใช้ "PhilipsPY" ที่บัญชีผู้ใช้พึ่งถูกสร้างเมื่อ 25 พฤษภาคม 2024 ไปที่เก็บข้อมูล PyPi ในช่วงสุดสัปดาห์ โดยอ้างว่าเป็นเครื่องมือการจัดการ API ซึ่งสังเกตว่าแพ็กเกจ pytoileur มีสตริงในข้อมูล Metadata ที่แสดงว่าเป็นส่วนหนึ่งของแคมเปญ 'Cool package' ที่กำลังดำเนินอยู่

แพ็กเกจอันตรายนี้ใช้ชื่อคล้ายกับแพ็กเกจที่ใช้งานกันอย่างแพร่หลาย ซึ่งเรียกเทคนิคนี้ว่า Typo-squatting และผู้ไม่หวังดีใช้กลยุทธ์การช่วยตอบคำถามบน Stack Overflow โดยให้วิธีแก้ไขโดยการติดตั้งแพ็กเกจ pytoileur ในหลาย ๆ คำถาม ซึ่งตอบโดยผู้ใช้ "EstAYA G" เป็นบัญชีผู้ใช้ใหม่พึ่งถูกสร้างเมื่อไม่กี่วันที่ผ่านมา ในตอนนี้ทาง Stack Overflow ได้ระงับการใช้งานบัญชีผู้ใช้นี้แล้ว

ในแพ็กเกจ pytoileur ประกอบด้วยไฟล์ setup.py หากดูในตอนแรกจะเห็นว่าเป็นไฟล์ที่ไม่อันตรายอะไร แต่มันมีอะไรที่มากกว่านั้น

นักวิจัยความปลอดภัยจาก Sonatype นามว่า Jeff Thornhil สังเกตว่าบรรทัดที่ 17 มีช่องว่าง (Whitespace) จำนวนมากเกินไป โดยเป็นการซ่อนโค้ดไปทางด้านขวา ซึ่งอาจทำให้พลาดการตรวจสอบได้ง่ายหากไม่สังเกตเห็นแถบเลื่อนหรือเปิด Word wrap ใน Text editor ที่ใช้งาน

โค้ดที่ถูกซ่อนถูกเข้ารหัส (Encode) ด้วย Base64 หากทำการถอดรหัส (Decode) จะเห็นว่าโค้ดมีเป้าหมายเป็นผู้ใช้งาน Windows และเรียกใช้คำสั่ง Python เพื่อดึงไฟล์ที่เป็นอันตรายจากเซิร์ฟเวอร์ภายนอก hxxp://51.77.140[.]144:8086/dl/runtime ไฟล์ไบนารีที่ถูกดึงคือ "Runtime.exe" จะถูกเรียกใช้โดยใช้คำสั่งผ่าน Windows PowerShell และ VBScript บนระบบ

เมื่อติดตั้งแล้ว ไฟล์ .exe จะสร้างการคงอยู่ (Persistence) และมีการป้องกันการตรวจจับหลายอย่าง (Anti-detection) เพื่อยับยั้งการวิเคราะห์โดยนักวิจัยและ Malware sandbox นอกจากนี้ยังทำการดึงไฟล์ไบนารีที่น่าสงสัย แก้ไขการตั้งค่าของ Windows registry และใช้ Payload ที่ได้รับการระบุว่าเป็น Spyware ก่อนหน้านี้

หนึ่งในนั้นคือไฟล์ไบนารี่ main.exe ที่มีความสามารถในการขโมยข้อมูลและ Crypto-jacking ตัวอย่างเช่น ไบนารี่พยายามส่งออกข้อมูลโปรไฟล์ผู้ใช้และข้อมูลที่บันทึกไว้ในเว็บเบราว์เซอร์ทั่วไป และพยายามเข้าถึงสินทรัพย์ที่เกี่ยวข้องกับ Fintech และบริการ Crypto เช่น Binance, Coinbase, Exodus Wallet, PayPal, Payoneer, PaySafeCard, Crypto.com, Skrill และอื่น ๆ อีกมากมาย

แนวทางการบรรเทาผลกระทบ

• อย่าเชื่อใจผู้คนบนโลกอินเทอร์เน็ต ให้นักพัฒนาตรวจสอบแหล่งที่มาของแพ็กเกจทั้งหมดที่นำมาจากคนอื่น รวมถึงตรวจสอบโค้ดเพื่อดูว่ามีการแทรกคำสั่งที่ผิดปกติหรือทำให้สับสนหรือไม่
• ยับยั้งการเชื่อมต่อทั้งหมดจจากหมายเลขไอพี 51.77.140[.]144 หรือเว็บไซต์ hxxp://51.77.140[.]144:8086/dl/runtime
• ใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อพฤติกรรมที่ผิดปกติและอันตรายของไบนารี่ที่รันได้

แหล่งอ้างอิง

• https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign
• https://pypi.org/project/pytoileur/
• https://archive.is/https://stackoverflow.com/questions/78544624/kivy-file-produces-blank-screen
• https://archive.ph/https://stackoverflow.com/questions/78545964/pandas-dataframe-select-dtypes-not-selecting-intended-datatypes
• https://archive.is/https://stackoverflow.com/questions/78545955/how-to-get-manipulated-table-from-put-datatable-in-pywebio/78546345%2378546345
• https://www.virustotal.com/gui/file/1c608773cbfa3dd59725d6a9f872a6c09950862e3296e8ed294c57915af4656c
• https://www.virustotal.com/gui/file/48004654bf491a126acc07b5ad376012a43c4b5254ebbf516b762254d7be3fbd

‍