ผู้ดูแล Python Package Index (PyPI) ได้ทำการ Quarantined แพ็กเกจ "aiocpa" หลังจากพบว่าการอัปเดตใหม่มีการเพิ่มโค้ดที่เป็นอันตรายสำหรับขโมย private keys ผ่าน Telegram
แพ็กเกจดังกล่าวได้รับการอธิบายว่าเป็น Crypto Pay API client ทั้งในโหมด synchronous และ asynchronous โดยแพ็กเกจนี้เปิดตัวครั้งแรกในเดือนกันยายน 2024 และได้ถูกดาวน์โหลดไปแล้วกว่า 12,100 ครั้งจนถึงปัจจุบัน
การ Quarantine Python library นี้จะทำให้ไม่สามารถติดตั้งเพิ่มเติมได้อีก และผู้ดูแลแพ็กเกจก็จะไม่สามารถแก้ไขเนื้อหาในแพ็กเกจนี้ได้
บริษัทด้านความปลอดภัยทางไซเบอร์ Phylum ได้เปิดเผยรายละเอียดของการโจมตี supply chain attack เมื่อสัปดาห์ที่ผ่านมา โดยผู้พัฒนาแพ็กเกจได้เผยแพร่การอัปเดตที่มีการเพิ่มโค้ดที่เป็นอันตรายนี้บน PyPI ในขณะที่ยังรักษา GitHub repository ของ library นี้ให้ดูปกติ เพื่อหลีกเลี่ยงการถูกตรวจพบ
ปัจจุบันยังไม่ชัดเจนว่าเป็นนักพัฒนาดั้งเดิมที่อยู่เบื้องหลังการอัปเดตที่เป็นอันตรายนี้ หรือว่าข้อมูล credentials ของพวกเขาถูกขโมยไปโดยผู้ไม่หวังดีรายอื่น
สัญญาณของพฤติกรรมที่เป็นอันตรายนี้ถูกพบครั้งแรกในเวอร์ชัน 0.1.13 ของ library ซึ่งมีการเปลี่ยนแปลงสคริปต์ Python ชื่อ "sync.py" ที่ถูกออกแบบมาเพื่อถอดรหัส และเรียกใช้โค้ดที่จะถูกลบออกทันทีหลังจากมีการติดตั้งแพ็กเกจ
บริษัท Phylum ระบุว่า "ข้อมูลดังกล่าวถูกเข้ารหัส และบีบอัดซ้ำกันถึง 50 ครั้ง และข้อมูลนี้ถูกใช้เพื่อดักจับ และส่งต่อโทเค็น Crypto Pay API ของเหยื่อผ่าน Telegram bot"
มีข้อสังเกตว่า Crypto Pay ถูกโฆษณาให้เป็นระบบชำระเงินที่ใช้ Crypto Bot (@CryptoBot) ซึ่งช่วยให้ผู้ใช้สามารถรับการชำระเงินด้วยคริปโต และโอนเหรียญให้ผู้ใช้อื่นได้ผ่าน API
เหตุการณ์นี้มีความอันตรายอย่างมาก เพราะเป็นการแสดงให้เห็นถึงความจำเป็นของการตรวจสอบโค้ดต้นฉบับของแพ็กเกจก่อนดาวน์โหลด แทนที่จะตรวจสอบเพียง repositories ที่เกี่ยวข้องเท่านั้น
บริษัทระบุว่า "จากที่เห็นในกรณีนี้ ผู้โจมตีจงใจรักษา GitHub repository ต้นฉบับให้ดูปกติ ในขณะที่กำลังเผยแพร่แพ็กเกจอันตรายไปยัง ecosystems ต่าง ๆ และการโจมตีครั้งนี้ เป็นการเตือนว่าประวัติความปลอดภัยของแพ็คเกจก่อนหน้านี้ ไม่ได้การันตีเรื่องความปลอดภัยในอนาคตได้"
ปัจจุบันแพ็กเกจ aiocpa ได้ถูกลบออกจาก PyPI repository อย่างเป็นทางการแล้ว
ที่มา : thehackernews
You must be logged in to post a comment.