Hacker ได้มีการเผยแพร่ Python Packages มากกว่า 451 Package ที่แตกต่างกันบน official Python Package Index (PyPl) เพื่อพยายามทำให้ระบบของนักพัฒนาติดมัลแวร์ clipper
Phylum บริษัทซอฟต์แวร์ด้านความปลอดภัยผู้พบ libraries ดังกล่าวระบุว่า ปฏิบัติการนี้เป็นผลสืบเนื่องมาจากแคมเปญที่เริ่มต้นตั้งแต่เมื่อเดือนพฤศจิกายน 2565 ที่ผ่านมา
การโจมตีรูปแบบนี้นำมาซึ่งการใช้เทคนิค typosquatting เพื่อเลียนชื่อแบบ Package ยอดนิยม เช่น beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana และ tensorflow และอื่น ๆ
Phylum ระบุในรายงานที่เผยแพร่เมื่อปีที่ผ่านมาว่า "หลังจากมีการติดตั้ง Package จากนั้นไฟล์ JavaScript ที่เป็นอันตรายจะถูกติดตั้งบนระบบ และแอบดำเนินการอยู่เบื้องหลัง web browsing session และเมื่อนักพัฒนามีการคัดลอก cryptocurrency address มันจะถูกแทนที่ข้อมูลที่อยู่บนคลิปบอร์ดด้วย address ของผู้โจมตีแทน"
เหตุการณ์นี้เกิดจาก extension บนเว็บเบราว์เซอร์ Chromium ในโฟลเดอร์ Windows AppData และ Javascript ที่เป็นอันตราย และไฟล์ manifest.json ที่จะขอสิทธิ์ของผู้ใช้ในการเข้าถึง และแก้ไขข้อมูลที่อยู่บนคลิปบอร์ด
เว็บเบราว์เซอร์ที่ตกเป็นเป้าหมาย ได้แก่ Google Chrome, Microsoft Edge, Brave และ Opera โดย Malware จะแก้ไข browser shortcuts เพื่อโหลด Extension โดยอัตโนมัติเมื่อเปิดใช้งานโดยใช้ command line switch "--load-extension"
Python Package ที่พบล่าสุดมีวิธีการทำงานที่คล้ายกัน แต่ไม่ทั้งหมด และได้รับการออกแบบให้ทำหน้าที่เป็นมัลแวร์ในลักษณะ clipboard-based เพื่อเปลี่ยน address บน crypto wallet และเทคนิคเพิ่มเติมในการพยายามปกปิดการทำงานของโค้ด JavaScript
เป้าหมายสูงสุดของการโจมตีคือการเปลี่ยนแปลงการทำธุรกรรมเกี่ยวกับ cryptocurrency เพื่อเปลี่ยนเส้นทางของ crypto wallet ไปเป็นของผู้โจมตีแทน
การค้นพบนี้สอดคล้องกับรายงานจาก Sonatype ซึ่งพบ Package ที่เป็นอันตราย 691 รายการใน Registry npm และ 49 รายการใน PyPI ในช่วงเดือนมกราคม 2566 เพียงเดือนเดียว
รายงานนี้แสดงให้เห็นถึงภัยคุกคามที่ทำให้นักพัฒนาเผชิญกับการโจมตีแบบ supply chain attacks โดยผู้ไม่หวังดีมักจะใช้วิธีการต่าง ๆ เช่น การตั้งชื่อที่เหมือนกันของแพ็คเกจ เพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดแพ็คเกจที่เป็นอันตราย
ที่มา : thehackernews
You must be logged in to post a comment.