นักวิจัยพบแพ็คเกจ PyPI ที่สามารถขโมยข้อมูล Keystrokes และ Hijacking บัญชีโซเชียลมีเดียได้

ตามรายงานล่าสุดจาก Fortinet FortiGuard Labs นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบแพ็กเกจที่เป็นอันตราย 2 รายการที่ถูกอัปโหลดไปยัง Python Package Index (PyPI) repository โดยแพ็กเกจเหล่านี้มีความสามารถในการขโมยข้อมูลที่มีความสำคัญจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ได้

แพ็กเกจทั้งสองรายการมีชื่อว่า zebo และ cometlogger มียอดการดาวน์โหลด 118 และ 164 ครั้งตามลำดับ ก่อนที่จะถูกลบออกจากระบบ ตามข้อมูลสถิติของ ClickPy พบว่าการดาวน์โหลดส่วนใหญ่มาจากสหรัฐอเมริกา จีน รัสเซีย และอินเดีย

Jenna Wang นักวิจัยด้านความปลอดภัยระบุว่า Zebo เป็น "ตัวอย่างทั่วไปของมัลแวร์ที่มีฟังก์ชันออกแบบมาเพื่อการสอดแนม การขโมยข้อมูล และการควบคุมโดยไม่ได้รับอนุญาต" และเสริมว่า cometlogger "ยังแสดงให้เห็นถึงพฤติกรรมที่เป็นอันตราย รวมถึงการจัดการไฟล์แบบไดนามิก, การแทรก webhook, การขโมยข้อมูล และการตรวจสอบเพื่อหลบเลี่ยงการทำงานบน Virtual machine"

แพ็คเกจแรกในสองแพ็คเกจนี้ คือ zebo ที่ใช้เทคนิคการอำพรางข้อมูล เช่น การเข้ารหัสแบบ hex-encoded เพื่อซ่อนที่อยู่ URL ของเซิร์ฟเวอร์ command-and-control (C2) ที่ใช้ในการสื่อสารผ่าน HTTP request

นอกจากนี้ยังมาพร้อมกับฟีเจอร์หลากหลายเพื่อรวบรวมข้อมูล เช่น การใช้ไลบรารี pynput เพื่อดักจับการกดแป้นพิมพ์ และใช้ ImageGrab เพื่อจับภาพหน้าจอเป็นระยะทุกชั่วโมง และบันทึกลงในโฟลเดอร์ภายในเครื่อง ก่อนที่จะอัปโหลดภาพเหล่านั้นไปยังบริการฝากรูปฟรี ImgBB โดยใช้คีย์ API ที่ได้รับมาจากเซิร์ฟเวอร์ C2

นอกเหนือจากการขโมยข้อมูลที่สำคัญออกไปแล้ว มัลแวร์นี้ยังตั้งค่าให้สามารถแฝงตัวอยู่บนเครื่องโดยการสร้าง batch script ที่จะเรียกใช้โค้ด Python และเพิ่มสคริปต์นั้นเข้าไปในโฟลเดอร์ Windows Startup เพื่อให้มัลแวร์ถูกเรียกใช้งานอัตโนมัติทุกครั้งที่มีรีบูตระบบใหม่

ในทางกลับกัน Cometlogger มีฟีเจอร์จำนวนมากกว่า โดยสามารถขโมยข้อมูลได้หลากหลายประเภท รวมถึง cookies, passwords, tokens และข้อมูลที่เกี่ยวข้องกับบัญชีจากแอปพลิเคชันต่าง ๆ เช่น Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify และ Roblox

นอกจากนี้ Cometlogger ยังสามารถรวบรวม Metadata ของระบบ, ข้อมูลเครือข่าย และ Wi-Fi, รายการ Processes ที่กำลังทำงาน และเนื้อหาในคลิปบอร์ด ยิ่งไปกว่านั้นยังมีการตรวจสอบเพื่อหลีกเลี่ยงการทำงานใน Virtualized environments และหยุดการทำงานของ Processes ที่เกี่ยวข้องกับเว็บเบราว์เซอร์เพื่อให้แน่ใจว่าสามารถเข้าถึงไฟล์ได้โดยไม่มีข้อจำกัด

Jenna Wang ระบุว่า "ด้วยการโจมตีแบบ asynchronous สคริปต์นี้จึงช่วยเพิ่มประสิทธิภาพในการขโมยข้อมูลจำนวนมากในระยะเวลาสั้น ๆ ได้"

"แม้ว่าฟีเจอร์บางอย่างอาจเป็นส่วนหนึ่งของเครื่องมือที่ถูกต้อง แต่จากการที่มีฟังก์ชันที่น่าสงสัยทำให้ไม่ปลอดภัยที่จะเรียกใช้งาน ควรตรวจสอบโค้ดอย่างละเอียดก่อนรันทุกครั้ง และหลีกเลี่ยงการใช้งานสคริปต์จากแหล่งที่ไม่น่าเชื่อถือ"

ที่มา : thehackernews