Một tác nhân đe dọa chưa xác định đã phát hành hàng loạt các package độc hại trên kho lưu trữ Python Package Index (PyPI) trong gần sáu tháng nhằm mục tiêu triển khai phần mềm độc hại có khả năng duy trì truy cập, đánh cắp dữ liệu nhạy cảm và truy cập ví tiền điện tử để thu lợi tài chính.
Theo báo cáo mới của Checkmarx, 27 package này giả mạo các thư viện Python phổ biến và thu hút hàng nghìn lượt tải về. Đa số lượt tải xuống đến từ Mỹ, Trung Quốc, Pháp, Hồng Kông, Đức, Nga, Ireland, Singapore, Anh và Nhật Bản.
Checkmarx cho biết: "Một đặc điểm xác định của cuộc tấn công này là việc sử dụng kỹ thuật steganography để giấu một payload (đoạn mã, tệp độc hại) trong một tệp hình ảnh trông vô hại".
Một số package được phát hiện bao gồm pyefflorer, pyminor, pyowler, pystallerer, pystob và pywool, package cuối cùng được phát hành vào ngày 13 tháng 5 năm 2023.
Điểm chung của các package này là sử dụng tập lệnh setup.py để bao gồm (include) tham chiếu đến các package độc hại khác (ví dụ: pystob và pywool) triển khai một Visual Basic Script (VBScript) để tải xuống và thực thi một tệp có tên "Runtime.exe" được dùng để duy trì quyền truy cập lâu dài trên máy nạn nhân. Tệp nhị phân này có chứa một tệp đã biên dịch có khả năng thu thập thông tin từ trình duyệt web, ví tiền điện tử và các ứng dụng khác.
Checkmarx cũng phát hiện một chuỗi tấn công khác, trong đó payload thực thi được giấu trong một ảnh PNG ("uwu.png"), sau đó được giải mã và chạy để trích xuất địa chỉ IP công cộng và UUID của hệ thống bị ảnh hưởng.
Đáng chú ý, Pystob và Pywool được phát hành dưới dạnh các công cụ quản lý API, chỉ để đánh cắp dữ liệu để gửi đến một webhook Discord và cố gắng duy trì truy cập bằng cách thêm tệp VBS vào trong thư mục khởi động của Windows.
"Chiến dịch này là một lời cảnh báo về các mối đe dọa luôn hiện diện trong bối cảnh số hóa ngày nay, đặc biệt là ở những nền tảng hợp tác và trao đổi mã nguồn mở", Checkmarx lưu ý.
Để giảm thiểu các rủi ro tiềm ẩn, các nhà phát triển nên kiểm tra cẩn thận trước khi sử dụng bất kỳ thư viện bên thứ ba nào trong phần mềm, ứng dụng của mình, chỉ nên sử dụng các thư viện đáng tin cậy, có số lượt tải xuống cao, thông tin nhà phát hành uy tín, nhiều lượt đánh giá tích cực.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Lỗ hổng zero-day trong phần mềm email Zimbra Collaboration đã bị bốn nhóm tin tặc khác nhau khai thác trong các cuộc tấn công trong thực tế để lấy cắp dữ liệu email, thông tin xác thực của người dùng và mã token xác thực.
Tín nhiệm mạng | Plugin WordPress WP Fastest Cache dễ bị tấn công trước một lỗ hổng SQL Injection, có thể cho phép kẻ tấn công không cần xác thực đọc nội dung cơ sở dữ liệu của trang web.
Tín nhiệm mạng | Samsung Electronics đang thông báo với một số khách hàng về một vụ vi phạm dữ liệu đã làm lộ thông tin cá nhân của họ.
Tín nhiệm mạng | VMware đang cảnh báo về một lỗ hổng bảo mật nghiêm trọng chưa có bản vá trong Cloud Director. Lỗ hổng này có thể bị kẻ xấu khai thác để vượt qua các biện pháp bảo vệ xác thực.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về phiên bản Windows của một phần mềm xóa dữ liệu độc hại (Wiper), trước đây từng nhắm mục tiêu vào các hệ thống Linux trong chiến dịch tấn công mạng nhằm vào Israel.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
