พบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI มีความเสี่ยงทำให้ผู้ใช้งานถูกขโมย AWS keys

ตรวจพบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI ทำการขโมยข้อมูล เช่น AWS Credential และส่งข้อมูลไปยังปลายทางที่เป็นสาธารณะซึ่งทุกคนสามารถเข้าถึงได้

PyPI เป็นคลังโปรแกรม และไลบรารีเสริมของ Python ที่เป็น Open Source สำหรับให้นักพัฒนาได้สร้างขึ้น และแบ่งปันให้ผู้อื่นโหลดมาใช้งาน โดยปกติ PyPI จะมีการตอบสนองอย่างรวดเร็วหากมีผู้ใช้งานรายงานไฟล์ที่อันตราย แต่การอัพโหลดไฟล์ขึ้นไปให้ดาวโหลดนั้นกลับไม่มีการตรวจสอบก่อน ทำให้แพ็คเกจที่เป็นอันตรายจึงอาจแฝงตัวอยู่ได้ช่วงเวลาหนึ่ง

ลักษณะการทำงาน

ผู้เชี่ยวชาญ Sonatype J. Cardona และ C. Fernandez จากบริษัท Sonatype ใช้เครื่องมือตรวจจับมัลแวร์อัตโนมัติบน PyPI ได้ทำการตรวจพบ และระบุว่าแพ็คเกจต่อไปนี้เป็นอันตราย:

  • loglib-modules
  • pyg-modules
  • pygrata
  • pygrata-utils
  • hkg-sol-utils
  • loglib-modules และ pyg-modules พบว่ามีการพยายามเลียนแบบโปรเจ็กต์อื่นที่เป็นที่นิยมบน PyPI

โดยมันถูกสร้างขึ้นเพื่อใช้สำหรับขโมย AWS credentials, network interface information และตรวจสอบสอบ environment ปลายทาง โดยมีเป้าหมายเป็นผู้ใช้ที่ประมาท หรือไม่มีประสบการณ์ในการติดตั้งมาก่อน ส่วนอีกสามแพ็คเกจไม่มีเป้าหมายที่ชัดเจน

แต่ทุกแพ็คเกจมีลักษณะเชื่อมถึงกันหมด เช่น pygrata ไม่มีฟังก์ชันการขโมยข้อมูลโดยตัวมันเอง แต่ต้องการ pygrata-utils ในการทำงาน ทำให้มันยังคงอยู่บน PyPI ได้

ข้อมูลที่ถูกขโมยจะถูกเก็บไว้ในไฟล์ TXT และอัปโหลดไปยังโดเมน PyGrata[.]com อย่างไรก็ตาม โดเมนปลายทางไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม ผู้เชี่ยวชาญจึงสามารถแอบดูสิ่งที่ผู้โจมตีได้ขโมยไปได้

แม้ว่าปัจจุบันจะถูกแก้ไขไปแล้ว แต่การมีอยู่ของแพ็คเกจเหล่านี้บน PyPI อาจทำให้ผู้ใช้งานมีความเสี่ยงที่ข้อมูลประจำตัวของพวกเขาถูกขโมยออกไปได้

แนวทางการป้องกัน

  • แนะนำให้ใช้งานแพ็คเกจที่มีความปลอดภัย และเป็นที่รู้จักเท่านั้น
  • ตรวจสอบประวัติการวางจำหน่าย วันที่อัพโหลด ลิงค์หน้าแรก คำอธิบายแพ็คเกจ และหมายเลขดาวน์โหลดทุกครั้งก่อนทำการดาวน์โหลด
  • ทำการ Block Domain ตาม IOC

IOC

  • PyGrata[.]com

ที่มา: bleepingcomputer