เพิ่งค้นพบแพ็คเกจที่เป็นอันตราย 3 รายการที่มีตัวขโมยข้อมูลและถูกลบออกจากที่เก็บ PyPI ในภายหลัง
นักวิจัยของ Fortinet พบ 3 แพ็คเกจที่อัปโหลดระหว่างวันที่ 0 ถึง 3 มกราคมโดยผู้ใช้ชื่อ "LollipXNUMXp" XNUMX อย่างนี้เรียกว่า "colorslib", "httpslib" และ "libhttps" และหากคุณเคยใช้มาก่อน อย่าลืมลบออกทันที
โดยทั่วไปแล้ว อาชญากรไซเบอร์ที่พยายามบุกรุกจุดสิ้นสุดของผู้พัฒนา Python ผ่าน PyPI จะพยายามทำข้อผิดพลาดในการพิมพ์โดยให้ชื่อแพ็คเกจที่เป็นอันตรายซึ่งเหมือนกับที่เป็นของโครงการที่ถูกต้องตามกฎหมาย ด้วยวิธีนี้ นักพัฒนาที่ขาดความรับผิดชอบหรือรีบร้อนสามารถใช้สิ่งที่เป็นอันตรายแทนการทำความสะอาดโดยไม่รู้ตัว
การโจรกรรมข้อมูลเบราว์เซอร์
อย่างไรก็ตาม แคมเปญนี้แตกต่างออกไป เนื่องจากทั้ง 3 แคมเปญนี้มีชื่อที่ไม่ซ้ำกัน เพื่อสร้างความไว้วางใจ ผู้โจมตีได้เขียนคำอธิบายที่สมบูรณ์ของแพ็คเกจ แม้ว่ายอดดาวน์โหลดทั้งหมดสำหรับอุปกรณ์ทั้ง 3 รุ่นนี้แทบจะทะลุ XNUMX เครื่องไปแล้ว แต่ก็ยังอาจเป็นเรื่องที่น่าหวาดหวั่นหากคุณเป็นส่วนหนึ่งของห่วงโซ่อุปทานที่ใหญ่กว่า โพสต์กล่าวอ้าง
ในทั้ง 3 กรณี ผู้โจมตีจะแจกจ่ายไฟล์ที่เรียกว่า "setup.py" ซึ่งหลังจากเรียกใช้ PowerShell แล้ว จะพยายามดาวน์โหลดไฟล์ปฏิบัติการ "Oxyz.exe" จากอินเทอร์เน็ต ตามที่นักวิชาการ โปรแกรมปฏิบัติการนี้เป็นอันตรายและขโมยข้อมูลจากเบราว์เซอร์ เราไม่ทราบแน่ชัดว่าข้อมูลประเภทใดที่มัลแวร์ต้องการขโมย (เปิดในแท็บใหม่) แต่ผู้ขโมยข้อมูลมักจะค้นหารหัสผ่านที่บันทึกไว้ รายละเอียดบัตรเครดิต กระเป๋าเงิน สกุลเงินดิจิทัล และข้อมูลที่มีค่าอื่นๆ
รายงานยังพบว่าอัตราการตรวจจับของโปรแกรมปฏิบัติการเหล่านี้ค่อนข้างต่ำ (สูงถึง XNUMX%) ซึ่งหมายความว่าผู้โจมตีสามารถโอนข้อมูลได้สำเร็จแม้จากจุดสิ้นสุดที่ได้รับการปกป้องด้วยโซลูชั่นป้องกันไวรัส
แม้ว่าแพ็คเกจที่เป็นอันตรายจะถูกลบออกจาก PyPI แล้ว แต่ก็ไม่มีอะไรป้องกันผู้โจมตีจากการดาวน์โหลดภายใต้ชื่ออื่นและจากบัญชีอื่น ดังที่ได้กล่าวไปแล้ว วิธีที่ดีที่สุดในการป้องกันการโจมตีห่วงโซ่อุปทานประเภทนี้คือการใช้ความระมัดระวังเป็นพิเศษเมื่อดาวน์โหลดบล็อกการสร้างโค้ดจากที่เก็บ
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)