ตรวจพบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI ทำการขโมยข้อมูล เช่น AWS Credential และส่งข้อมูลไปยังปลายทางที่เป็นสาธารณะซึ่งทุกคนสามารถเข้าถึงได้
PyPI เป็นคลังโปรแกรม และไลบรารีเสริมของ Python ที่เป็น Open Source สำหรับให้นักพัฒนาได้สร้างขึ้น และแบ่งปันให้ผู้อื่นโหลดมาใช้งาน โดยปกติ PyPI จะมีการตอบสนองอย่างรวดเร็วหากมีผู้ใช้งานรายงานไฟล์ที่อันตราย แต่การอัพโหลดไฟล์ขึ้นไปให้ดาวโหลดนั้นกลับไม่มีการตรวจสอบก่อน ทำให้แพ็คเกจที่เป็นอันตรายจึงอาจแฝงตัวอยู่ได้ช่วงเวลาหนึ่ง
ลักษณะการทำงาน
ผู้เชี่ยวชาญ Sonatype J. Cardona และ C. Fernandez จากบริษัท Sonatype ใช้เครื่องมือตรวจจับมัลแวร์อัตโนมัติบน PyPI ได้ทำการตรวจพบ และระบุว่าแพ็คเกจต่อไปนี้เป็นอันตราย:
- loglib-modules
- pyg-modules
- pygrata
- pygrata-utils
- hkg-sol-utils
- loglib-modules และ pyg-modules พบว่ามีการพยายามเลียนแบบโปรเจ็กต์อื่นที่เป็นที่นิยมบน PyPI
โดยมันถูกสร้างขึ้นเพื่อใช้สำหรับขโมย AWS credentials, network interface information และตรวจสอบสอบ environment ปลายทาง โดยมีเป้าหมายเป็นผู้ใช้ที่ประมาท หรือไม่มีประสบการณ์ในการติดตั้งมาก่อน ส่วนอีกสามแพ็คเกจไม่มีเป้าหมายที่ชัดเจน
แต่ทุกแพ็คเกจมีลักษณะเชื่อมถึงกันหมด เช่น pygrata ไม่มีฟังก์ชันการขโมยข้อมูลโดยตัวมันเอง แต่ต้องการ pygrata-utils ในการทำงาน ทำให้มันยังคงอยู่บน PyPI ได้
ข้อมูลที่ถูกขโมยจะถูกเก็บไว้ในไฟล์ TXT และอัปโหลดไปยังโดเมน PyGrata[.]com อย่างไรก็ตาม โดเมนปลายทางไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม ผู้เชี่ยวชาญจึงสามารถแอบดูสิ่งที่ผู้โจมตีได้ขโมยไปได้
แม้ว่าปัจจุบันจะถูกแก้ไขไปแล้ว แต่การมีอยู่ของแพ็คเกจเหล่านี้บน PyPI อาจทำให้ผู้ใช้งานมีความเสี่ยงที่ข้อมูลประจำตัวของพวกเขาถูกขโมยออกไปได้
แนวทางการป้องกัน
- แนะนำให้ใช้งานแพ็คเกจที่มีความปลอดภัย และเป็นที่รู้จักเท่านั้น
- ตรวจสอบประวัติการวางจำหน่าย วันที่อัพโหลด ลิงค์หน้าแรก คำอธิบายแพ็คเกจ และหมายเลขดาวน์โหลดทุกครั้งก่อนทำการดาวน์โหลด
- ทำการ Block Domain ตาม IOC
IOC
- PyGrata[.]com
ที่มา: bleepingcomputer
You must be logged in to post a comment.