ผู้เชี่ยวชาญจาก Phylum ค้นพบแพ็คเกจที่เป็นอันตรายจำนวน 29 รายการบน Python Package Index (PyPI) ที่เป็นแหล่งรวมโปรแกรม และไลบรารีเสริมของ Python โดยแพ็คเกจทั้งหมดเป็นส่วนหนึ่งของมัลแวร์ที่มีชื่อว่า W4SP Stealer
รายละเอียดการโจมตี
- การโจมตีเริ่มตั้งแต่วันที่ 12 ตุลาคมที่ผ่านมา และดำเนินการมาจนถึงวันที่ 22 ตุลาคม มียอดการดาวน์โหลดแพ็คเกจทั้งหมดรวมกว่า 5,700 ครั้ง
- ผู้โจมตีจะทำการฝังสคริปที่เป็นอันตรายลงในไฟล์ setup.py เพื่อเปิดใช้งานโค้ด Python สำหรับดึงมัลแวร์มาติดตั้งจากระยะไกล เป้าหมายในการโจมตีในครั้งนี้คือผู้ใช้งานที่ไม่ได้สังเกต โดยผู้โจมตีอาศัยการพิมพ์ชื่อไฟล์ให้คล้ายกับแพ็คเกจที่มีอยู่แล้ว
- สคริปต์ทั้งหมดเป็น Payload สำหรับติดตั้งมัลแวร์ W4SP Stealer ซึงเป็น Trojan ที่อยู่ในรูปแบบของ Python มาพร้อมกับความสามารถในการขโมยไฟล์, รหัสผ่าน, คุกกี้ของเบราว์เซอร์, ข้อมูลเมตาของระบบ, โทเค็น Discord นอกจากนี้ยังสามารถขโมยข้อมูลจาก crypto wallets อย่าง MetaMask, Atomic และ Exodus ได้อีกด้วย
รายชื่อแพ็คเกจที่เป็นอันตรายมีดังต่อไปนี้
typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color, และ pyhints
จากเหตุการณ์ดังกล่าว จะพบว่ามีการเผยแพร่แพ็คเกจที่เป็นอันตรายบนระบบ Open Source เพิ่มขึ้นเรื่อย ๆ นอกจากนี้การโจมตีต่าง ๆ ยังมีการปรับเปลี่ยนวิธีการอยู่ตลอดเวลา ผู้ใช้งาน Open Source ต่าง ๆ จึงควรใช้ความระมัดระวัง เนื่องจากคาดว่าอาจจะมีมัลแวร์ลักษณะนี้ออกมาอีกในอนาคต
ที่มา : thehackernews
You must be logged in to post a comment.