แพ็กเกจ Python ที่เป็นอันตรายแอบเก็บข้อมูล AWS credentials ผ่านการดาวน์โหลด 37,000 ครั้ง

แพ็กเกจ Python ที่เป็นอันตรายชื่อ "Fabrice" ซึ่งได้ถูกเผยแพร่บน PyPI มาตั้งแต่ปี 2021 ได้ใช้เทคนิค typosquatting โดยเลียนแบบชื่อของไลบรารี SSH automation ยอดนิยมอย่าง Fabric โดยมันสามารถขโมยข้อมูล AWS credentials อย่างลับ ๆ ผ่านการดาวน์โหลดมากกว่า 37,000 ครั้ง

ทีมวิจัย Socket ระบุในโพสต์เมื่อวันที่ 6 พฤศจิกายนว่า ไลบรารี Fabric ที่ถูกต้องมีการดาวน์โหลดมากกว่า 201 ล้านครั้ง และได้รับความไว้วางใจจากนักพัฒนาทั่วโลก Fabric ทำงานเป็นไลบรารี high-level Python (2.7, 3.4+) ที่ใช้ในการรันคำสั่ง shell จากระยะไกลผ่าน SSH และส่งคืนผลลัพธ์เป็น Python objects

ตามที่ทีมวิจัย Socket รายงาน Fabrice ถูกออกแบบมาเพื่อใช้ประโยชน์จากเรื่องนี้ โดยมันจะประกอบไปด้วยเพย์โหลดที่ขโมยข้อมูล credentials, สร้าง backdoor และรันสคริปต์ที่เฉพาะเจาะจงกับแต่ละแพลตฟอร์ม

นักวิจัยระบุว่า "แพ็กเกจ Fabrice เป็นการโจมตีแบบ typosquatting ที่ซับซ้อน ซึ่งถูกสร้างขึ้นเพื่อใช้ประโยชน์จากนักพัฒนาที่ไม่ระมัดระวัง โดยการเข้าถึงข้อมูล credentials ที่สำคัญโดยไม่ได้รับอนุญาตทั้งในระบบ Linux และ Windows ผ่าน URL ที่ถูกซ่อน, เพย์โหลดที่เข้ารหัส และเซิร์ฟเวอร์พร็อกซี่ที่ใช้ VPN สำหรับการขโมยข้อมูลอย่างลับ ๆ การโจมตีนี้แสดงให้เห็นถึงความสำคัญอย่างยิ่งของการใช้เครื่องมือที่สามารถแจ้งเตือนเกี่ยวกับพฤติกรรมดังกล่าวก่อนที่มันจะเข้าสู่ codebase ได้"

การดำเนินการของแพ็กเกจ Fabrice มาอย่างยาวนาน

Callie Guenther ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคามไซเบอร์ที่ Critical Start อธิบายว่า "แพ็กเกจ Fabrice ถูกเปิดใช้งานบน PyPI มานานกว่าหลายปี ได้สะท้อนให้เห็นถึงการวางแผน และความอดทน ซึ่งจะเชื่อมโยงกับผู้โจมตีที่มีความชำนาญ และมีทรัพยากรที่สูง"

Guenther ซึ่งเป็นคอลัมนิสต์ของ SC Media ระบุว่า วิธีการนี้สอดคล้องกับแนวโน้มที่ผู้โจมตีให้ความสำคัญกับการเข้าถึงอย่างต่อเนื่องมากกว่าสร้างผลกระทบในทันที โดยคาดว่าการรวบรวมข้อมูล AWS credentials อย่างต่อเนื่องช่วยให้พวกเขาสามารถสร้างชุดข้อมูลที่มีมูลค่าสูง และกว้างขวางได้ในระยะยาว

Guenther ระบุว่า "ข้อมูลที่เก็บรวบรวมนี้สามารถนำไปใช้เพื่อเข้าถึงเป้าหมายในเชิงลึกยิ่งขึ้น, ขายให้กับผู้โจมตีรายอื่น หรือสร้างรายได้ในระยะยาว เพื่อเพิ่มมูลค่า และความมั่นคงของการโจมตี การโจมตีแบบ typosquatting เป็นวิธีการที่เก่าแก่ แต่ยังคงได้ผล โดยเฉพาะในระบบของซอฟต์แวร์โอเพ่นซอร์สที่การพึ่งพาแพ็กเกจจาก third-party มักจะไม่ได้รับการตรวจสอบ"

Guenther ระบุเพิ่มเติมว่า จุดประสงค์ของการเก็บข้อมูล AWS credentials แสดงให้เห็นว่าผู้โจมตีอาจคาดการณ์ว่าจะสามารถเข้าถึงโครงสร้างพื้นฐานที่ใช้ AWS ในอนาคต ข้อมูล AWS credentials เป็นจุดเปลี่ยนที่สำคัญที่ช่วยให้ผู้โจมตีสามารถเข้าถึง Asset บนคลาวด์ได้ ซึ่งไม่เพียงแต่จะขโมยข้อมูล แต่ยังสามารถสร้าง backdoor, ติดตั้งเพย์โหลดเพิ่มเติม หรือทำให้เกิดความเสียหายในการดำเนินงานผ่านการทำลาย หรือการเข้ารหัสข้อมูล

Guenther ระบุว่า "การให้ความสำคัญกับข้อมูล cloud credentials แสดงให้ถึงความเข้าใจในวิธีการที่ระบบ AWS มีความสำคัญต่อการดำเนินงานขององค์กรหลายแห่ง" วิธีการขโมยข้อมูล credentials นี้แสดงให้เห็นถึงเส้นทางการโจมตีที่ได้คำนวณไว้ และมีมูลค่าที่สูง

Itzik Alvas ผู้ร่วมก่อตั้ง และ CEO ของ Entro Security ระบุว่า "เมื่อมีการโจมตี non-human identity (NHI) มักจะเป็นแค่จุดเริ่มต้นสำหรับผู้โจมตีในการแทรกซึมเข้าไปในบัญชีผู้ใช้งานในระบบ และทรัพยากรอื่น ๆ อย่างลับ ๆ" Alvas ระบุต่อไปว่า แม้ว่า IBM จะประเมินว่าบริษัทต่าง ๆ อาจใช้เวลานานถึงหนึ่งปีในการระบุ และบรรเทาผลกระทบจากการถูกโจมตีในระบบ แต่การโจมตีจาก 'Fabrice' เป็นตัวอย่างที่ดีที่แสดงให้เห็นว่าสถิติเหล่านี้อิงตามช่องโหว่ที่ถูกเปิดเผยเท่านั้น

Alvas ระบุว่า "อาจมีการโจมตีที่ยังไม่ถูกตรวจพบอีกจำนวนมาก เช่น การโจมตีนี้ที่แฝงตัวอยู่ในระบบต่าง ๆ โดยใช้ประโยชน์จากข้อมูล credentials เพิ่มเติม เพื่อสร้างเพย์โหลดที่ใหญ่ขึ้นโดยไม่ถูกตรวจจับ การโจมตีนี้แสดงให้เห็นถึงความจำเป็นในการตรวจจับ และตอบสนองต่อพฤติกรรมที่ผิดปกติที่เกี่ยวข้องกับ NHI อย่างรวดเร็ว เมื่อผู้โจมตีเข้าสู่ระบบด้วย NHI ที่ถูกโจมตี เป็นแค่เรื่องของเวลาเท่านั้น ก่อนที่พวกเขาจะสามารถขโมยข้อมูล credentials เพิ่มเติมได้"

ที่มา : scworld.com