ทีมวิจัยของ Phylum บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่การค้นพบแพ็คเกจ PyPI (Python Package Index) ที่เป็นอันตราย ซึ่งจะแอบติดตั้งมัลแวร์สำหรับขโมยข้อมูล และโทรจันสำหรับใช้ในการเข้าถึงจากระยะไกล RAT (Remote Access Trojan) ดาวน์โหลด CloudFlare Tunnel เพื่อใช้หลีกเลี่ยงการตรวจจับจากไฟร์วอลล์ ในการขโมยข้อมูลผู้ใช้ในเว็บเบราว์เซอร์ เรียกใช้คำสั่ง shell commands และใช้ keyloggers เพื่อขโมยข้อมูลการพิมพ์ในเครื่องเหยื่อ
นักวิจัยรายงานว่า ตรวจพบแพ็คเกจ PyPI ที่เป็นอันตรายครั้งแรกในวันที่ 22 ธันวาคม 2022 รวมถึง Hackers ยังได้อัปโหลดแพ็คเกจอื่น ๆ จนถึงวันสิ้นปี
ซึ่งแพ็คเกจ PyPI ที่เป็นอันตราย ตรวจพบมีดังต่อไปนี้
pyrologin – ดาวน์โหลด 165 ครั้ง
easytimestamp – ดาวน์โหลด 141 ครั้ง
discorder – ดาวน์โหลด 83 ครั้ง
discord-dev – ดาวน์โหลด 228 ครั้ง
style.py – ดาวน์โหลด 193 ครั้ง
pythonstyles – ดาวน์โหลด 130 ครั้ง
ฟังก์ชันขโมยข้อมูล
โปรแกรมติดตั้ง (setup.py) ในไฟล์เหล่านี้จะประกอบไปด้วยสตริงที่เข้ารหัส base64 ซึ่งถอดรหัสออกมาเป็นสคริปต์ PowerShell ที่สามารถหลบซ่อนตัวในขณะดำเนินการ เพื่อหลีกเลี่ยงการตรวจจับ ซึ่งสคริปต์ PowerShell จะทำการดาวน์โหลดไฟล์ ZIP เช่น server.pyw ที่สามารถฝังตัวเองให้อยู่บนเครื่องแม้จะมีการรีบูตระบบ และ ping เพื่อเรียกไปยัง onion proxy
จากนั้นจะแตกไฟล์ลงบน local temp directory ในเครื่อง และทำการติดตั้งแพ็คเกจ Python ที่เรียกโหลด Flask และ Flask_cloudflared. เพื่อใช้ทำการการควบคุมจากระยะไกล และการจับภาพหน้าจอ
โดยข้อมูลที่ถูกขโมยไปจะได้แก่ กระเป๋าเงินดิจิตอล คุกกี้ และรหัสผ่านของเบราว์เซอร์ โทเค็น Discord และอื่น ๆ ซึ่งจะถูก zip แล้วส่งไปยัง transfer[.]sh ของ Hackers ที่อยู่บน onion site
การใช้โทรจันในการเข้าถึงจากระยะไกล (RAT)
นอกจากนี้ยังพบสคริปต์เรียกใช้ "cftunnel.py" ที่รวมอยู่ในไฟล์ ZIP ซึ่งใช้ในการติดตั้งไคลเอนต์ Cloudflare Tunnel บนเครื่องของเหยื่อเพื่อใช้ในการเข้าถึงจากระยะไกล และหลีกเลี่ยงการตรวจจับบน Firewall ผ่านสคริปต์ Flask และ Flask_cloudflared
โดยสคริปต์ Flask หรือที่เรียกว่า xrat สามารถขโมยชื่อผู้ใช้ และที่อยู่ IP ของเหยื่อ เรียกใช้ PowerShell บนเครื่องที่โจมตี ทำการคัดกรองไฟล์ และไดเร็กทอรีเฉพาะ รันโค้ด Python หรือดาวน์โหลด และเปิดใช้งานเพย์โหลดเพิ่มเติม
รวมไปถึงโทรจัน RAT นี้ยังมีฟีเจอร์ live remote desktop ทีสามารถเห็นกิจกรรมการใช้งานที่เหยื่อพิมพ์ หรือขยับเมาส์ได้ที่อัตราหนึ่งเฟรมต่อวินาที
ขณะนี้แพ็คเกจPyPI ที่เป็นอันตรายทั้งหมดได้ถูกลบออกจาก PyPI แล้ว แต่ผู้ที่ได้ดาวน์โหลดไปก่อนหน้านี้จำเป็นต้องทำการถอนการติดตั้งด้วยตนเอง โดยนักวิจัยได้เตือนให้ถอนการติดตั้งโดยด่วน
Cloudflare Tunnel เป็นบริการที่ช่วยให้ลูกค้าที่ใช้บัญชีรายเดือน และบัญชีฟรี สามารถสร้างช่องทางติดต่อจากเซิร์ฟเวอร์ไปยังระบบของ Cloudflare ได้โดยตรง
การแก้ไข
- หากได้ดาวน์โหลดแพ็คเกจ PyPI ดังกล่าวมา ให้ทำการถอนการติดตั้งทันที และเปลี่ยนรหัสผ่านทั้งหมดในเว็บไซต์ที่เข้าใช้งานเป็นประจำ
ที่มา : bleepingcomputer
You must be logged in to post a comment.