นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแพ็กเกจที่เป็นอันตรายบน Python Package Index (PyPI) repository ที่ปลอมเป็นเครื่องมือที่เกี่ยวข้องกับ Discord ซึ่งดูเหมือนไม่เป็นอันตราย แต่ที่จริงแล้วมีมัลแวร์ประเภท Remote Access Trojan (RAT) ฝังไว้
แพ็กเกจดังกล่าวคือ discordpydebug ซึ่งถูกอัปโหลดไปยัง PyPI เมื่อวันที่ 21 มีนาคม 2022 และมีการดาวน์โหลดไปแล้ว 11,574 ครั้ง และยังคงมีให้ดาวน์โหลดบน open-source registry ที่น่าสนใจคือ แพ็กเกจดังกล่าวยังไม่เคยได้รับการอัปเดตเลยนับตั้งแต่วันแรกที่ถูกอัปโหลด
Socket Research Team ระบุว่า "ในตอนแรก มันดูเหมือนเป็นเพียงเครื่องมือเล็ก ๆ สำหรับนักพัฒนาที่ทำงานกับ Discord bots โดยใช้ไลบรารี Discord.py อย่างไรก็ตาม แพ็กเกจนี้ได้ซ่อนมัลแวร์ประเภท remote access trojan (RAT) ที่ทำงานได้อย่างสมบูรณ์ไว้ภายใน"
แพ็กเกจนี้ เมื่อถูกติดตั้งแล้ว มันจะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกที่ชื่อว่า "backstabprotection.jamesx123.repl[.]co" และมีความสามารถในการอ่าน และเขียนไฟล์ใด ๆ ก็ตาม ตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์ เช่น readfile หรือ writefile นอกจากนี้ โทรจันตัวนี้ยังสามารถรัน shell commands ได้อีกด้วย
โดยสรุปแล้ว discordpydebug สามารถถูกใช้เพื่ออ่านข้อมูลสำคัญ เช่น configuration files, tokens และข้อมูล credentials, แก้ไขไฟล์ที่มีอยู่, ดาวน์โหลด payloads เพิ่มเติม และรันคำสั่งเพื่อขโมยข้อมูลออกไป
Socket ระบุว่า "แม้ว่าโค้ดจะไม่มีฟังก์ชันสำหรับการแฝงตัวถาวร (persistence) หรือยกระดับสิทธิ์ผู้ใช้ (privilege escalation) แต่ความเรียบง่ายของมันกลับทำให้มันมีประสิทธิภาพอย่างมาก และการใช้เทคนิค polling ด้วย HTTP จากฝั่งขาออก แทนที่จะเป็นการเชื่อมต่อฝั่งขาเข้า ทำให้ผู้โจมตีสามารถหลบเลี่ยงไฟร์วอลล์ และเครื่องมือเฝ้าระวังด้านความปลอดภัยได้ โดยเฉพาะในสภาพแวดล้อมการพัฒนาที่ไม่เข้มงวดมากนัก"
การค้นพบครั้งนี้เกิดขึ้นในขณะที่บริษัทความปลอดภัยด้านซอฟต์แวร์ supply chain ได้เปิดเผยว่า พบแพ็กเกจ npm มากกว่า 45 รายการ ที่ปลอมตัวเป็นไลบรารีที่ถูกต้องจากระบบอื่น ๆ เพื่อหลอกให้นักพัฒนาติดตั้ง โดยมีแพ็กเกจที่น่าสงสัยดังต่อไปนี้ :
- beautifulsoup4 (เป็นการโจมตีแบบ Typosquatting ของไลบรารี BeautifulSoup4 Python)
- apache-httpclient (เป็นการโจมตีแบบ Typosquatting ของไลบรารี Apache HttpClient Java)
- opentk (เป็นการโจมตีแบบ Typosquatting ของไลบรารี OpenTK .NET)
- seaborn (เป็นการโจมตีแบบ Typosquatting ของไลบรารี Seaborn Python)
แพ็กเกจที่ถูกระบุทั้งหมดนี้พบว่ามีโครงสร้างพื้นฐานเดียวกัน ใช้โค้ดที่ถูก obfuscation ในลักษณะคล้ายกัน และเชื่อมโยงไปยัง IP address เดียวกัน แม้จะแสดงชื่อผู้ดูแลที่แตกต่างกัน ซึ่งบ่งชี้ว่าทั้งหมดน่าจะเป็นฝีมือของแฮ็กเกอร์รายเดียวกัน
Socket ระบุเพิ่มเติมว่า "แพ็กเกจที่เป็นส่วนหนึ่งของแคมเปญนี้ประกอบไปด้วยโค้ดที่ถูกเข้ารหัส ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย, รันสคริปต์ที่เป็นอันตราย, ขโมยข้อมูลสำคัญ และแฝงตัวอยู่ในระบบที่ถูกโจมตี"
ที่มา : thehackernews
You must be logged in to post a comment.