ในสัปดาห์ที่ผ่านมานั้น มีการตรวจพบแพ็คเกจที่เป็นอันตรายจำนวนมากใน PyPi (Python Package Index) พื้นที่จัดเก็บโปรแกรมและไลบรารีเสริมที่มีไว้ใช้สำหรับพัฒนา Project Python ซึ่งแพ็คเกจเหล่านั้นจะเปลี่ยนอุปกรณ์ของ Developer ให้กลายเป็นเครื่องขุด cryptocurrency
แพ็คเกจที่เป็นอันตรายทั้งหมดถูกเผยแพร่โดยบัญชีผู้ใช้เดียวกันคือ "nedog123" และหลอกให้ Developer ดาวน์โหลดแพ็คเกจอันตรายเหล่านั้นกว่าหลายพันครั้งโดยใช้วิธีการสะกดชื่อให้มีความใกล้เคียงกับแพ็คเกจที่เป็นของจริง
แพ็คเกจอันตรายที่มีการตรวจพบในเดือนเมษายนทั้งหมดมี 6 รายการดังนี้
- maratlib
- maratlib1
- matplatlib-plus
- mllearnlib
- mplatlib
- learninglib
จะสังเกตเห็นได้ว่าแพ็คเกจอันตรายทั้งหมดที่ตรวจพบนั้นจะมีการพยายามสะกดชื่อแพ็คเกจให้มีความใกล้เคียงกับแพ็คเกจของจริง matplotlib
Ax Sharma นักวิจัยด้านความปลอดภัยของบริษัทพัฒนาระบบอัตโนมัติ Sonatype ได้วิเคราะห์ 1 ในแพ็คเกจอันตราย “maratlib” ในบล็อกโพสต์ โดยตั้งข้อสังเกตว่าในแพ็คเกจเหล่านั้นประกอบไปด้วยหลายส่วนที่เป็นอันตราย และแต่ละส่วนมีการทำงานร่วมกัน
"สำหรับแต่ละแพ็คเกจ โค้ดที่เป็นอันตรายจะอยู่ในไฟล์ setup.py ซึ่งเป็นสคริปต์ที่ทำงานระหว่างการติดตั้งแพ็คเกจ" Ax Sharma กล่าว
ในขณะที่กำลังทำการวิเคราะห์แพ็คเกจ Sharma พบว่าแพ็คเกจเหล่านั้นพยายามดาวน์โหลดสคริปต์ Bash (aza2.sh) จาก GitHub ซึ่งตอนนี้สคริปต์ดังกล่าวถูกลบออกจาก GitHub แล้ว
นอกจากนี้ Sharma ติดตามจากนามแฝงของผู้เผยแพร่สคริปต์บน GitHub โดยใช้ open-source intelligence และพบว่าหน้าที่ของสคริปต์คือการเรียกใช้ cryptominer ที่เรียกว่า "Ubqminer" บนเครื่องของเหยื่อ
นักวิจัยยังตั้งข้อสังเกตอีกว่าผู้เขียนมัลแวร์ได้แทนที่ที่อยู่กระเป๋าเงิน Kryptex ด้วยที่อยู่ของตัวเองเพื่อใช้สำหรับขุด Ubiqcryptocurrency (UBQ)
นอกจาก Ubiqcryptocurrency แล้วสคริปต์ยังได้รวมโปรแกรมสำหรับขุด cryptocurrency อื่นๆ อีกซึ่งเครื่องมือเหล่านั้นจะใช้พลังงาน GPU ในการขุด นั่นคือโอเพ่นซอร์ส T-Rex (Link : https://github.com/trexminer/T-Rex)
เหล่าแฮกเกอร์ยังคงมุ่งเป้าไปที่พื้นที่เก็บโค้ดโอเพนซอร์สอย่างต่อเนื่อง เช่น PyPi สำหรับ Python, NPM สำหรับ NodeJS หรือ RubyGems แม้ว่าจากตรวจสอบจะพบว่าจำนวนการดาวน์โหลดแพ็คเกจอันตรายนั้นต่ำ แต่ก็มีความเสี่ยงเนื่องจาก Developer อาจนำโค้ดที่เป็นอันตรายไปใช้ใน Project ที่ใช้กันอย่างแพร่หลาย
ในกรณีนี้ Sonatype ได้ตรวจพบแพ็คเกจที่เป็นอันตรายหกแพ็คเกจหลังจากสแกนที่เก็บ PyPi ด้วยระบบตรวจจับมัลแวร์อัตโนมัติ Release Integrity ในช่วงเวลาที่ตรวจพบ แพ็คเกจดังกล่าวมีการดาวน์โหลดไปแล้วเกือบ 5,000 ครั้งตั้งแต่เดือนเมษายนที่ผ่านมา โดยเฉพาะแพ็คเกจ “maratlib” มีบันทึกจำนวนการดาวน์โหลดสูงสุดอยู่ที่ 2,371 ครั้ง
ที่มา: bleepingcomputer.com