นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
แพ็กเกจอันตรายของ PyPi ใช้ชื่อว่า pytoileur และถูกอัปโหลดโดยผู้ใช้ "PhilipsPY" ที่บัญชีผู้ใช้พึ่งถูกสร้างเมื่อ 25 พฤษภาคม 2024 ไปที่เก็บข้อมูล PyPi ในช่วงสุดสัปดาห์ โดยอ้างว่าเป็นเครื่องมือการจัดการ API ซึ่งสังเกตว่าแพ็กเกจ pytoileur มีสตริงในข้อมูล Metadata ที่แสดงว่าเป็นส่วนหนึ่งของแคมเปญ 'Cool package' ที่กำลังดำเนินอยู่
แพ็กเกจอันตรายนี้ใช้ชื่อคล้ายกับแพ็กเกจที่ใช้งานกันอย่างแพร่หลาย ซึ่งเรียกเทคนิคนี้ว่า Typo-squatting และผู้ไม่หวังดีใช้กลยุทธ์การช่วยตอบคำถามบน Stack Overflow โดยให้วิธีแก้ไขโดยการติดตั้งแพ็กเกจ pytoileur ในหลาย ๆ คำถาม ซึ่งตอบโดยผู้ใช้ "EstAYA G" เป็นบัญชีผู้ใช้ใหม่พึ่งถูกสร้างเมื่อไม่กี่วันที่ผ่านมา ในตอนนี้ทาง Stack Overflow ได้ระงับการใช้งานบัญชีผู้ใช้นี้แล้ว
ในแพ็กเกจ pytoileur ประกอบด้วยไฟล์ setup.py หากดูในตอนแรกจะเห็นว่าเป็นไฟล์ที่ไม่อันตรายอะไร แต่มันมีอะไรที่มากกว่านั้น
นักวิจัยความปลอดภัยจาก Sonatype นามว่า Jeff Thornhil สังเกตว่าบรรทัดที่ 17 มีช่องว่าง (Whitespace) จำนวนมากเกินไป โดยเป็นการซ่อนโค้ดไปทางด้านขวา ซึ่งอาจทำให้พลาดการตรวจสอบได้ง่ายหากไม่สังเกตเห็นแถบเลื่อนหรือเปิด Word wrap ใน Text editor ที่ใช้งาน
โค้ดที่ถูกซ่อนถูกเข้ารหัส (Encode) ด้วย Base64 หากทำการถอดรหัส (Decode) จะเห็นว่าโค้ดมีเป้าหมายเป็นผู้ใช้งาน Windows และเรียกใช้คำสั่ง Python เพื่อดึงไฟล์ที่เป็นอันตรายจากเซิร์ฟเวอร์ภายนอก hxxp://51.77.140[.]144:8086/dl/runtime ไฟล์ไบนารีที่ถูกดึงคือ "Runtime.exe" จะถูกเรียกใช้โดยใช้คำสั่งผ่าน Windows PowerShell และ VBScript บนระบบ
เมื่อติดตั้งแล้ว ไฟล์ .exe จะสร้างการคงอยู่ (Persistence) และมีการป้องกันการตรวจจับหลายอย่าง (Anti-detection) เพื่อยับยั้งการวิเคราะห์โดยนักวิจัยและ Malware sandbox นอกจากนี้ยังทำการดึงไฟล์ไบนารีที่น่าสงสัย แก้ไขการตั้งค่าของ Windows registry และใช้ Payload ที่ได้รับการระบุว่าเป็น Spyware ก่อนหน้านี้
หนึ่งในนั้นคือไฟล์ไบนารี่ main.exe ที่มีความสามารถในการขโมยข้อมูลและ Crypto-jacking ตัวอย่างเช่น ไบนารี่พยายามส่งออกข้อมูลโปรไฟล์ผู้ใช้และข้อมูลที่บันทึกไว้ในเว็บเบราว์เซอร์ทั่วไป และพยายามเข้าถึงสินทรัพย์ที่เกี่ยวข้องกับ Fintech และบริการ Crypto เช่น Binance, Coinbase, Exodus Wallet, PayPal, Payoneer, PaySafeCard, Crypto.com, Skrill และอื่น ๆ อีกมากมาย
แนวทางการบรรเทาผลกระทบ
แหล่งอ้างอิง
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว