🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND Thị Trấn Đinh Văn, huyện Lâm Hà, tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trường THCS Tam Cường, Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Cao Minh đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vĩnh Long- Thắng Thuỷ đã đăng ký tín nhiệm. 🔥                   

Phát hiện hàng chục package PyPI độc hại với hàng nghìn lượt tải xuống nhắm vào các chuyên gia CNTT

20/11/2023

Một tác nhân đe dọa chưa xác định đã phát hành hàng loạt các package độc hại trên kho lưu trữ Python Package Index (PyPI) trong gần sáu tháng nhằm mục tiêu triển khai phần mềm độc hại có khả năng duy trì truy cập, đánh cắp dữ liệu nhạy cảm và truy cập ví tiền điện tử để thu lợi tài chính.

Theo báo cáo mới của Checkmarx, 27 package này giả mạo các thư viện Python phổ biến và thu hút hàng nghìn lượt tải về. Đa số lượt tải xuống đến từ Mỹ, Trung Quốc, Pháp, Hồng Kông, Đức, Nga, Ireland, Singapore, Anh và Nhật Bản.

Checkmarx cho biết: "Một đặc điểm xác định của cuộc tấn công này là việc sử dụng kỹ thuật steganography để giấu một payload (đoạn mã, tệp độc hại) trong một tệp hình ảnh trông vô hại".

Một số package được phát hiện bao gồm pyefflorer, pyminor, pyowler, pystallerer, pystob và pywool, package cuối cùng được phát hành vào ngày 13 tháng 5 năm 2023.

Điểm chung của các package này là sử dụng tập lệnh setup.py để bao gồm (include) tham chiếu đến các package độc hại khác (ví dụ: pystob và pywool) triển khai một Visual Basic Script (VBScript) để tải xuống và thực thi một tệp có tên "Runtime.exe" được dùng để duy trì quyền truy cập lâu dài trên máy nạn nhân. Tệp nhị phân này có chứa một tệp đã biên dịch có khả năng thu thập thông tin từ trình duyệt web, ví tiền điện tử và các ứng dụng khác.

Checkmarx cũng phát hiện một chuỗi tấn công khác, trong đó payload thực thi được giấu trong một ảnh PNG ("uwu.png"), sau đó được giải mã và chạy để trích xuất địa chỉ IP công cộng và UUID của hệ thống bị ảnh hưởng.

Đáng chú ý, Pystob và Pywool được phát hành dưới dạnh các công cụ quản lý API, chỉ để đánh cắp dữ liệu để gửi đến một webhook Discord và cố gắng duy trì truy cập bằng cách thêm tệp VBS vào trong thư mục khởi động của Windows.

"Chiến dịch này là một lời cảnh báo về các mối đe dọa luôn hiện diện trong bối cảnh số hóa ngày nay, đặc biệt là ở những nền tảng hợp tác và trao đổi mã nguồn mở", Checkmarx lưu ý.

Để giảm thiểu các rủi ro tiềm ẩn, các nhà phát triển nên kiểm tra cẩn thận trước khi sử dụng bất kỳ thư viện bên thứ ba nào trong phần mềm, ứng dụng của mình, chỉ nên sử dụng các thư viện đáng tin cậy, có số lượt tải xuống cao, thông tin nhà phát hành uy tín, nhiều lượt đánh giá tích cực.

Nguồn: thehackernews.com.

scrolltop